Gli autori di attacchi malware continuano a sfruttare i file LNK, sfruttando una vulnerabilità fondamentale che nasconde agli utenti contenuti dannosi. Poiché Microsoft non ha ancora risolto questa vulnerabilità, è necessaria la massima attenzione quando si gestiscono i file LNK. Questa guida fornisce passaggi cruciali per proteggersi da potenziali abusi di questi tipi di file.
Comprendere i file LNK: i rischi che comportano
I file LNK, spesso generati come collegamenti all’interno del sistema operativo Windows, hanno l’estensione.lnk. Potresti avere familiarità con la creazione o la creazione di collegamenti sul desktop da parte delle applicazioni; tuttavia, è fondamentale notare che Windows nasconde l’estensione.lnk, sostituendola con una caratteristica icona a forma di freccia rivolta verso l’alto.
Queste scorciatoie indirizzano gli utenti al file o all’applicazione designati, ma possiedono una capacità allarmante: il loro campo di destinazione può essere manipolato per includere istruzioni da riga di comando. Questa funzionalità consente ai criminali informatici di eseguire script dannosi, spesso utilizzati in attacchi fileless esemplificati da malware come Astaroth.
Ciò che è particolarmente pericoloso è che gli aggressori possono oscurare gli script dannosi utilizzando spazi vuoti eccessivi nel campo di destinazione. Di conseguenza, gli utenti potrebbero visualizzare solo un indirizzo di destinazione innocuo, mentre le istruzioni dannose vengono eseguite in background. Questa vulnerabilità è tracciata con l’ID: CVE-2025-9491.
In genere, un file.lnk ingannevole è nascosto all’interno di un archivio, con un nome fuorviante come “Instructions.pdf.ink”.Poiché Windows omette la visibilità dell’estensione del file, gli utenti potrebbero identificarlo erroneamente come “Instructions.pdf” e avviare inconsapevolmente l’attacco al momento dell’apertura.
Come rivelare le estensioni dei file LNK in Windows
La prima linea di difesa contro tali minacce è riconoscere i file LNK come scorciatoie anziché come file autentici. Poiché i file LNK sono progettati per funzionare in un ambiente locale o di rete, qualsiasi file LNK non richiesto proveniente da fonti esterne è probabilmente un tentativo di phishing.
Per migliorare l’identificazione dei file LNK, è possibile configurare Windows in modo che visualizzi l’estensione.lnk. Questa operazione richiede una modifica del registro di sistema, poiché l’opzione standard per attivare/disattivare le estensioni dei file non si applica ai file.lnk. Iniziare abilitando l’opzione “Mostra estensioni file” nelle impostazioni di sistema, quindi applicare la seguente modifica del registro di sistema:
Importante: crea un backup del Registro di sistema prima di apportare qualsiasi modifica. Modifiche errate potrebbero causare instabilità del sistema o perdita di dati.
Accedi al Registro e vai a:
HKEY_CLASSES_ROOT\lnkfile
Una volta lì, individua ed elimina la NeverShowExtstringa. Riavvia il PC affinché le modifiche abbiano effetto. Successivamente, tutti i collegamenti visualizzeranno l’estensione.lnk. Fai attenzione e non aprire file che affermano di essere file.ink.
Analisi dei file LNK per la sicurezza
Se si riscontra un file LNK sospetto, è consigliabile esaminare attentamente il campo di destinazione. Fare clic con il pulsante destro del mouse sul file e selezionare Proprietà. Nella scheda Collegamento, esaminare attentamente il campo Destinazione.
Un collegamento legittimo dovrebbe visualizzare il percorso esatto del file eseguibile tra virgolette. Se il percorso conduce a strumenti di comando come cmd.exe, powershell.exe o mshta.exe, potrebbe indicare un intento malevolo. Inoltre, la presenza di caratteri casuali o sequenze binarie alla fine della stringa può suggerire un’attività illecita.
Disabilitazione della riproduzione automatica e delle anteprime dei file
Storicamente, le funzionalità di Windows AutoPlay per le unità USB e le opzioni di anteprima dei file in Esplora file sono state vulnerabili allo sfruttamento tramite file LNK. Sebbene Microsoft abbia migliorato le misure di sicurezza, queste funzionalità presentano ancora dei rischi. Se non sono essenziali per il tuo flusso di lavoro, valuta la possibilità di disattivarle per una maggiore sicurezza.
Per disattivare la riproduzione automatica, vai su Impostazioni di Windows → Bluetooth e dispositivi → Riproduzione automatica e attiva l’interruttore per disattivarla. Per informazioni sulla gestione delle impostazioni di anteprima dei file, consulta la nostra guida completa.
Attivazione dell’accesso controllato alle cartelle
L’Accesso Controllato alle Cartelle è una funzionalità di Windows progettata per proteggere le cartelle critiche, come Documenti, Immagini e Desktop, da modifiche non autorizzate, in particolare dagli attacchi ransomware. Dato che molti attacchi ai file LNK prendono di mira queste directory per azioni dannose, l’attivazione di questa funzionalità aggiunge un livello di sicurezza fondamentale. Per istruzioni dettagliate sull’attivazione, consulta la nostra guida.
Rafforzamento della sicurezza di PowerShell
Gli attacchi ai file LNK sfruttano spesso i comandi di PowerShell per eseguire azioni dannose. Per mitigare questo rischio, limitare le operazioni di PowerShell ai soli script firmati. Digitare “powershell” nella barra di ricerca di Windows, fare clic con il pulsante destro del mouse sull’applicazione e selezionare Esegui come amministratore. Immettere il comando seguente, confermando la modifica digitando “y”.
Set-ExecutionPolicy AllSigned
Si tenga presente che questa impostazione potrebbe ostacolare i flussi di lavoro basati su script PowerShell personalizzati, in particolare in contesti aziendali. Per annullare questa modifica, utilizzare:
Set-ExecutionPolicy Undefined
Inoltre, per ulteriori suggerimenti su come proteggere ulteriormente PowerShell, consulta la nostra guida.
Una regola pratica prudente: evita di aprire file LNK a meno che non li abbia creati tu o ne abbia autorizzato la creazione tramite un’applicazione attendibile. Questa precauzione è particolarmente rilevante per i file scaricati da Internet. Utilizza sempre le funzionalità di sicurezza di Windows per la massima protezione, soprattutto se alcune sono state disabilitate.
Scopri di più e visualizza le immagini
Articoli correlati:
Soluzioni per il problema del cambio automatico dello sfondo dell’iPhone
16:32
Discord potenzia i controlli parentali per monitorare l’attività degli adolescenti sulla piattaforma
16:28
Utilizzo di Lenovo Vantage per la scansione dei componenti hardware del tuo laptop
1:28
Lascia un commento