Di tengah rutinitas pengguna Windows yang merasa sistemnya aman-aman saja, muncul kabar kurang menyenangkan. Microsoft ternyata diam-diam menambal sebuah celah keamanan serius di file shortcut Windows (.LNK) yang selama ini sudah dieksploitasi oleh pelaku kejahatan siber sejak 2017. Celah ini begitu berbahaya karena mampu menyembunyikan perintah berbahaya melalui shortcut yang tampak biasa saja di mata pengguna.
Baca Juga : 3 Cara Mengatasi Gpedit Tidak Bisa Dibuka Windows 11
Menariknya, kerentanan yang diberi kode CVE-2025-9491 ini tidak muncul dalam daftar resmi 63 celah keamanan yang dipatch pada pembaruan Patch Tuesday November 2025. Artinya, Microsoft memperbaikinya, tetapi tidak membicarakannya secara terbuka—dan tentu saja hal ini memicu rasa penasaran banyak pihak.
Kerentanan Lama yang Baru Terungkap
Celah ini pertama kali disorot publik pada 18 Maret 2025, ketika Trend Micro Zero Day Initiative (ZDI) merilis Advisory ZDI-25-148 yang disertai penelitian mendalam oleh Peter Girnus dan Aliakbar Zahravi. Dari laporan tersebut, ditemukan hampir 1.000 file shortcut (.lnk) berbahaya yang memanfaatkan kelemahan yang sama dalam berbagai kampanye serangan sejak 2017.
Inti masalahnya ada di cara Windows menampilkan informasi pada menu Properties. Para peneliti menemukan bahwa penyerang bisa membuat file shortcut yang menyembunyikan perintah berbahaya karena Windows hanya menampilkan 260 karakter pertama dari bagian Target. Jadi, jika ada skrip berbahaya yang panjang, pengguna tidak akan melihatnya meskipun sudah membuka Properties untuk mengecek isi shortcut tersebut.
Isunya sebenarnya telah dilaporkan ke Microsoft sejak September 2024, namun saat itu Microsoft menyatakan masalah tersebut tidak memenuhi threshold untuk diperbaiki. Alasannya: Windows sudah memberi peringatan pada file yang berasal dari Internet melalui fitur Mark of the Web (MoTW), sehingga dianggap cukup aman.
Eksploitasi Aktif yang Mengubah Keputusan
Situasi berubah drastis ketika memasuki akhir Oktober 2025. Peneliti dari Arctic Wolf menemukan bahwa aktor ancaman yang berafiliasi dengan Tiongkok, dikenal sebagai UNC6384, sedang memanfaatkan celah ini secara aktif dalam operasi mereka. Targetnya pun bukan main-main: entitas diplomatik di Hongaria dan Belgia selama September hingga Oktober 2025.
Dalam kampanye tersebut, penyerang menyebarkan malware PlugX melalui file shortcut yang sudah dimodifikasi khusus untuk memanfaatkan kelemahan tampilan pada Windows. Dengan trik ini, perintah PowerShell berbahaya dapat berjalan tanpa disadari pengguna karena disembunyikan dari tampilan Properties.
Meskipun sudah ada bukti eksploitasi di dunia nyata, Microsoft tetap bersikeras melalui Advisory ADV25258226 bahwa masalah ini bukan sebuah kerentanan, dengan alasan masih membutuhkan interaksi pengguna dan Windows sendiri sudah memberikan peringatan bila file berasal dari sumber yang tidak terpercaya. Namun, tentunya peringatan tersebut bisa dilewati—dan inilah yang dimanfaatkan oleh para pelaku serangan.
Patch yang Dikeluarkan Diam-Diam
Pada pembaruan keamanan November 2025, Microsoft akhirnya mengubah cara Windows menampilkan informasi pada file .LNK. Kini, seluruh perintah di dalam kolom Target akan ditampilkan secara utuh, berapa pun panjangnya. Hanya saja, informasinya tetap berada dalam satu baris, sehingga pengguna perlu menyeleksi teks tersebut dan melakukan scroll untuk melihatnya secara lengkap.
Walaupun perubahan ini cukup signifikan, Microsoft tidak menyebutkannya dalam dokumentasi patch resmi. Maka tak heran bila banyak analis keamanan menyebut langkah ini sebagai patch “senyap”.
Solusi Tambahan dari Pihak Ketiga
Menariknya, ACROS Security memilih mengambil langkah yang lebih agresif dengan merilis micropatch mereka sendiri. Patch buatan ACROS secara otomatis akan memotong (truncate) bagian Target pada file .LNK yang melebihi 260 karakter ketika dibuka melalui Windows Explorer. Selain itu, pengguna juga akan mendapat peringatan saat aktivitas mencurigakan terdeteksi.
Pendekatan ini khusus dirancang untuk memblokir lebih dari 1.000 shortcut berbahaya yang telah diidentifikasi Trend Micro, namun tetap memastikan shortcut asli buatan Windows bisa berfungsi seperti biasa.
Baca Juga : Peringatan! Windows 11 25H2 & 24H2 Mengalami Kerusakan UI Setelah Update
Pelajaran Penting dari Kerentanan Ini
Kasus ini menunjukkan bahwa isu keamanan yang berhubungan dengan UI (User Interface) masih menjadi tantangan besar. Penyerang kini semakin pintar memanfaatkan kepercayaan pengguna terhadap tampilan antarmuka Windows untuk menyembunyikan niat jahat mereka.
Para peneliti keamanan menyarankan agar organisasi mulai meningkatkan kapabilitas deteksi endpoint serta memperkuat pelatihan keamanan untuk para pengguna. Terutama dalam menghadapi file shortcut yang diterima melalui email atau diunduh dari sumber yang tidak terpercaya—karena dari luar terlihat biasa, tapi bisa berisi serangan yang sangat terstruktur.
