此篇文章帶讀者回顧一個看似只是介面設計、實際卻影響資安判斷的重要細節:Windows 捷徑屬性視窗中「目標」欄位的顯示方式。文章指出,第三方修補服務商 0patch 在最新技術分析中揭露,微軟雖然公開強調相關行為不構成安全漏洞,但實際上已在今年透過 Windows 更新,悄悄調整捷徑屬性視窗的顯示行為。這個多年來遭攻擊者濫用的 UI 設計缺陷,已被正式編號為 CVE-2025-9491。此篇文章說明,問題核心在於使用者在檢查捷徑屬性時,看到的「目標」指令與實際被執行的內容並不完全一致,而這種「介面與實際行為脫節」的狀況,被攻擊者利用長達多年,使得看起來安全、其實暗藏惡意指令的捷徑檔,在各種攻擊行動中大量出現。
文章進一步還原這個漏洞是如何在實務攻擊中被運用。趨勢科技在 2025 年 3 月率先公開指出,自 2017 年起,已觀察到近千個惡意 Windows 捷徑檔出現在各類攻擊行動。攻擊者利用捷徑目標欄位實際可容納數萬字元的特性,在前段塞入大量空白或類似空白的字元,再把真正的 PowerShell 或批次指令藏在後面。由於傳統捷徑屬性視窗只會顯示前 260 個字元,使用者即使打開屬性檢查,要不是看到一片空白,就是看到一小段看似無害的內文章也提到,Arctic Wolf 在一宗歐洲外交機構遭攻擊事件中,再次觀察到中國關聯攻擊者 UNC6384 使用同樣技巧散布 PlugX 惡意程式,顯示這並非理論問題,而是已在真實世界中反覆被濫用的攻擊手法。儘管如此,微軟在針對 CVE-2025-9491 的指引文件中仍強調,從網路下載的捷徑檔會帶有 MoTW 標記,使用者在開啟前會看到風險警示,因此公司不認定這是必須修補的安全漏洞,這樣的立場也引發外界是否低估風險的質疑。
真正的關鍵轉折點,來自 0patch 對捷徑結構的重新檢視。此篇文章說明,0patch 一開始也認同這只是顯示位置問題,認為謹慎的使用者可以透過捲動完整檢查文字;然而在深入分析後,他們發現屬性視窗其實對顯示長度有硬性限制,後段內容根本「不存在」於介面的可見範圍之內,即使是資安人員,在信任這個介面的前提下,也會被誤導,以為已檢查完所有會被執行的指令。文章指出,微軟在 2025 年中透過 Windows 更新調整行為,讓捷徑屬性視窗可以顯示完整目標字串,使用者也能透過全選、貼到文字編輯器進一步檢視,讓介面與實際執行內容重新對齊。不過,0patch 自家提供的修補策略則更為主動:當偵測到由檔案總管開啟且目標長度超過 260 個字元的捷徑時,會直接將目標截斷在 260 個字元並跳出警示,明確提醒這是一個「異常捷徑」,也同時阻斷後段可能藏匿的惡意指令執行。藉由這個案例,讓讀者在閱讀正式技術細節前,先意識到一個看似不起眼的 UI 限制,如何在多年之間成為攻擊者可以悄悄鑽營的縫隙,以及官方與第三方在「這算不算漏洞」、「應該修到什麼程度」上截然不同的風險思維。
