Microsoft heeft een aanpassing doorgevoerd in de verwerking van Windows-snelkoppelingen. Het probleem, dat sinds 2017 werd misbruikt door meerdere statelijke groepen, maakte het mogelijk om schadelijke code te verbergen in het Target-veld van .lnk-bestanden. Het bedrijf classificeerde dit jarenlang niet als kwetsbaarheid.
Aanvallers konden gebruikmaken van het feit dat Windows in de gebruikersinterface slechts de eerste 260 tekens van het Target-veld toont, terwijl het volledige veld tot ongeveer 32.000 tekens kan bevatten. Door het begin van de opdrachtregel te vullen met grote hoeveelheden spaties, tabs of andere witruimtes, verplaatsten zij de daadwerkelijke schadelijke opdracht buiten beeld. Controle via de eigenschappen van het bestand gaf daardoor een ogenschijnlijk onschuldig doelpad weer. Bij openen van het .lnk-bestand werd de verborgen code uitgevoerd.
Volgens verschillende beveiligingsonderzoekers is de methode sinds 2017 ingezet door elf statelijke actoren. In totaal zijn bijna duizend voorbeelden gevonden. Doelen bevonden zich in overheidsinstanties, krijgsmacht, energiesector, telecom en diplomatieke diensten. Onder meer Trend Micro meldde het probleem in maart 2025 aan Microsoft. Volgens de leverancier voldeed het toen niet aan de drempel voor onmiddellijke aanpassing. Microsoft wees daarbij op bestaande gebruikerswaarschuwingen bij het openen van .lnk-bestanden.
In september en oktober 2025 zagen onderzoekers van Arctic Wolf aanvallen op diplomatieke doelwitten in Hongarije en België. Hierbij circuleerden .lnk-bestanden die waren vormgegeven als agenda’s van bijeenkomsten van de Europese Commissie. De uiteindelijke malware was PlugX, een bekende remote access trojan die in verschillende varianten actief blijft.
Microsoft bracht onlangs alsnog een wijziging aan, zonder hierbij een aparte aankondiging te publiceren. De aanpassing zorgt ervoor dat de volledige tekenreeks zichtbaar is, al blijft dit volgens onafhankelijke onderzoekers moeilijk leesbaar. Het bedrijf 0patch ontwikkelde daarnaast een eigen correctie die gebruikers waarschuwt wanneer het Target-veld langer is dan 260 tekens.
Beschikbaarheid van de officiële update verschilt per platform. Windows 11 ontving de wijziging in de novemberupdate van 2025. Windows 10 werd alleen bijgewerkt voor systemen die deelnemen aan het programma voor Extended Security Updates. Windows Server 2016, 2019 en 2022 kregen geen aanpassing en blijven volgens externe onderzoekers vatbaar voor misbruik.
