Des acteurs malveillants continuent d’exploiter les fichiers LNK dans le cadre d’attaques de logiciels malveillants, tirant parti d’une vulnérabilité fondamentale qui masque les contenus malveillants aux utilisateurs. Microsoft n’ayant pas encore corrigé cette vulnérabilité, la vigilance est de mise lors de la manipulation de fichiers LNK. Ce guide présente les étapes essentielles pour se prémunir contre les risques d’utilisation abusive de ces types de fichiers.
Comprendre les fichiers LNK : les risques qu’ils présentent
Les fichiers LNK, souvent créés comme raccourcis sous Windows, portent l’extension.lnk. Vous avez peut-être déjà créé ces raccourcis sur le bureau ou autorisé des applications à le faire ; cependant, il est important de noter que Windows masque l’extension.lnk et la remplace par une icône de flèche horizontale caractéristique.
Ces raccourcis dirigent les utilisateurs vers le fichier ou l’application désignés, mais recèlent une fonctionnalité inquiétante : leur champ cible peut être manipulé pour y inclure des instructions en ligne de commande. Cette fonctionnalité permet aux cybercriminels d’exécuter des scripts malveillants, souvent utilisés dans les attaques sans fichier, comme celles perpétrées par des logiciels malveillants tels qu’Astaroth.
Le danger réside notamment dans la possibilité pour les attaquants de dissimuler des scripts malveillants en utilisant un nombre excessif d’espaces blancs dans le champ cible. Par conséquent, les utilisateurs ne verront qu’une adresse cible inoffensive, tandis que des instructions malveillantes seront exécutées en arrière-plan. Cette vulnérabilité est référencée sous l’identifiant CVE-2025-9491.
En général, un fichier.lnk malveillant est dissimulé dans une archive et porte un nom trompeur comme « Instructions.pdf.ink ».Comme Windows masque l’extension du fichier, les utilisateurs peuvent le confondre avec « Instructions.pdf » et déclencher involontairement l’attaque en l’ouvrant.
Afficher les extensions de fichiers LNK sous Windows
La première ligne de défense contre ces menaces consiste à identifier les fichiers LNK comme des raccourcis et non comme des fichiers légitimes. Les fichiers LNK étant conçus pour fonctionner en local ou en réseau, tout fichier LNK non sollicité provenant de sources externes est probablement une tentative d’hameçonnage.
Pour faciliter l’identification des fichiers LNK, vous pouvez configurer Windows pour afficher l’extension.lnk. Cela nécessite une modification du registre, car l’option d’affichage des extensions de fichiers standard ne s’applique pas aux fichiers.lnk. Commencez par activer l’option « Afficher les extensions de fichiers » dans les paramètres système, puis appliquez la modification suivante dans le registre :
Important : Créez une sauvegarde de votre registre avant toute modification. Des modifications incorrectes peuvent entraîner une instabilité du système ou une perte de données.
Accédez au Registre et naviguez jusqu’à :
HKEY_CLASSES_ROOT\lnkfile
Une fois sur place, repérez et supprimez la NeverShowExtchaîne de caractères. Redémarrez votre ordinateur pour que les modifications soient prises en compte. Par la suite, tous les raccourcis auront l’extension.lnk. Soyez prudent et n’ouvrez aucun fichier se faisant passer pour un fichier.ink.
Analyse de la sécurité des fichiers LNK
Si vous rencontrez un fichier LNK suspect, il est conseillé d’examiner attentivement son champ cible. Faites un clic droit sur le fichier et sélectionnez Propriétés. Dans l’ onglet Raccourci, examinez attentivement le champ Cible.
Un raccourci légitime doit afficher le chemin d’accès précis au fichier exécutable entre guillemets. Si ce chemin pointe vers des outils en ligne de commande comme cmd.exe, powershell.exe ou mshta.exe, cela peut indiquer une intention malveillante. De plus, la présence de caractères aléatoires ou de séquences binaires à la fin du chemin peut également suggérer une activité suspecte.
Désactivation de la lecture automatique et des aperçus de fichiers
Historiquement, les fonctionnalités de lecture automatique de Windows pour les clés USB et les options d’aperçu des fichiers dans l’Explorateur de fichiers étaient vulnérables à l’exploitation via les fichiers LNK. Bien que Microsoft ait amélioré les mesures de sécurité, ces fonctionnalités présentent toujours des risques. Si elles ne sont pas essentielles à votre flux de travail, il est conseillé de les désactiver pour une sécurité accrue.
Pour désactiver la lecture automatique, accédez à Paramètres Windows → Bluetooth et périphériques → Lecture automatique, puis désactivez l’option. Pour plus d’informations sur la gestion des paramètres d’aperçu des fichiers, consultez notre guide complet.
Activation de l’accès contrôlé aux dossiers
L’accès contrôlé aux dossiers est une fonctionnalité Windows conçue pour protéger les dossiers importants (Documents, Images et Bureau) contre les modifications non autorisées, notamment les attaques de type ransomware.Étant donné que de nombreuses attaques par fichiers LNK ciblent ces répertoires, l’activation de cette fonctionnalité renforce considérablement la sécurité. Pour obtenir des instructions détaillées sur l’activation, veuillez consulter notre guide.
Renforcement de la sécurité de PowerShell
Les attaques par fichiers LNK exploitent souvent les commandes PowerShell pour exécuter des actions malveillantes. Pour atténuer ce risque, limitez les opérations PowerShell aux scripts signés uniquement. Saisissez « powershell » dans la barre de recherche Windows, cliquez avec le bouton droit sur l’application et sélectionnez « Exécuter en tant qu’administrateur ».Saisissez la commande suivante et confirmez la modification en tapant « o ».
Set-ExecutionPolicy AllSigned
Notez que ce paramètre peut entraver les flux de travail reposant sur des scripts PowerShell personnalisés, notamment en entreprise. Pour annuler cette modification, utilisez :
Set-ExecutionPolicy Undefined
Consultez également notre guide pour obtenir des conseils supplémentaires sur la sécurisation de PowerShell.
Une règle de prudence : évitez d’ouvrir les fichiers LNK, sauf si vous les avez créés ou si vous avez autorisé leur création via une application de confiance. Cette précaution est particulièrement importante pour les fichiers téléchargés depuis Internet. Utilisez toujours les fonctionnalités de sécurité de Windows pour une protection optimale, surtout si certaines sont désactivées.
En savoir plus et voir les images
Articles connexes:
Solutions au problème de changement automatique du fond d’écran sur iPhone
16:33
Discord renforce le contrôle parental pour surveiller l’activité des adolescents sur la plateforme.
16:29
Utilisation de Lenovo Vantage pour analyser les composants matériels de votre ordinateur portable
1:29
Laisser un commentaire