Windows 11: 'Kaputte' Datei-Vorschau ist kein Bug, sondern Feature

Seit dem Oktober-Patchday funktioniert die Datei-Vorschau im Explorer für viele Dateien nicht mehr wie gewohnt. Microsoft erklärt jetzt: Es handelt sich nicht um einen Bug, sondern ein Feature, mit dem eine Sicherheitslücke geschlossen wird.
Explorer, Datei-Explorer, Windows Explorer, File Explorer, Datei Explorer, Windows 11 Explorer

Explorer-Vorschau wird deaktiviert

Seit dem Oktober-Patchday berichten Windows-11-Nutzer von einem Problem: Die Vorschau-Funktion im Datei-Explorer scheint seit dem Update mit KB5066835 kaputt zu sein und zeigt bei vielen Dateien nur noch eine Warnung an. Statt etwa PDF-Inhalte oder andere Dokumente direkt anzuzeigen, erscheint die Meldung: "Durch die Datei, für die Sie in der Vorschau aneigen möchten, wir Ihr Computer möglicherweise beschädigt. Wenn Sie die Datei und die Quelle, von der Sie die Datei erhalten haben, als vertrauenswürdig einstufen, öffnen Sie sie, um den Inhalt anzuzeigen."

Was zunächst wie ein Fehler wirkte, entpuppt sich jetzt allerdings als gezieltes Sicherheitsfeature. Denn wie Microsoft in einem Support-Dokument erklärt, betrifft die Änderung ausschließlich Dateien, die aus dem Internet heruntergeladen wurden und mit dem "Mark of the Web" (MotW) markiert sind. Dieses Attribut kennzeichnet Dateien, die über Webbrowser, E-Mail-Anhänge oder andere Internetquellen auf den Computer gelangen.


Das "Mark of the Web" wurde bereits 2005 mit dem Internet Explorer 6 eingeführt und dient seither als wichtiger Sicherheitsmechanismus. Es wird als alternativer Datenstrom (Alternate Data Stream) in der NTFS-Dateistruktur gespeichert und ist für normale Nutzer unsichtbar.

Durch diese Maßnahme soll eine Sicherheitslücke geschlossen werden, die es Angreifern ermöglicht, NTLM-Hashes zu stehlen, wenn Nutzer bestimmte Dateien in der Vorschau betrachten.

Schutz vor gefährlichen NTLM-Angriffen

NTLM (New Technology LAN Manager) ist ein Microsoft-Authentifizierungsprotokoll, das Challenge-Response-Verfahren mit Hashes verwendet, statt Passwörter im Klartext zu übertragen. Obwohl NTLM die Übertragung von Klartext-Passwörtern vermeidet, gilt es aufgrund von Schwachstellen wie sogenannten Replay- und Brute-Force-Attacken auf abgefangene Hashes nicht mehr als sicher.

Bereits das bloße Auswählen einer Datei zur Vorschau reicht aus, um die Sicherheitslücke auszulösen. Cyberkriminelle können Hashes abfangen, um sich als legitime Nutzer auszugeben. Eine bösartige Datei kann den Datei-Explorer dazu verleiten, NTLM-Hashes an einen von Angreifern kontrollierten Server zu senden.

Die Schwachstelle ist besonders gefährlich, da sie mit minimaler Nutzerinteraktion ausgelöst werden kann. Schon das einfache Anklicken einer Datei, ein Rechtsklick oder jede andere Aktion außer dem direkten Öffnen oder Ausführen der Datei reicht aus, um den Angriff zu starten.

Manuelle Vorschau möglich

Die jetzige Änderung durch das letzte Patchday-Update vom 14. Oktober, mit der die Sicherheitslücke laut Microsoft geschlossen wird, wirkt sich auf Windows 11, Windows Server 2012, Windows Server 2012 R2, 2016, 2019, Server 23H2 und Windows Server 2025 aus. Windows 10 bleibt unberührt, da Microsoft den Support bereits eingestellt hat, es sei denn, Nutzer haben sich für das ESU-Programm angemeldet.

Wer dennoch Dateien aus dem Internet mit in der Vorschau ansehen möchte, kann die Sperre manuell mit einem Rechtsklick auf die Datei unter "Eigenschaften" und "Entsperren" entfernen. Zudem gibt es auch Möglichkeiten, das Blockieren der Datei-Vorschau über den Powershell-Befehl Unblock-File -Path "Datei-Pfad\*.Datei-Typ" für gewünschte Datei-Typen dauerhaft zu deaktivieren. Damit wird die Sicherheitslücke jedoch wieder geöffnet.

Was haltet ihr von Microsofts Entscheidung, die Vorschau-Funktion aus Sicherheitsgründen teils zu deaktivieren? Lasst uns eure Meinungen zu diesem Sicherheitsfeature in den Kommentaren wissen!

Zusammenfassung
  • Windows 11 zeigt seit Oktober-Patchday für viele Dateien keine Vorschau mehr
  • Die Änderung betrifft aus dem Internet heruntergeladene Dateien
  • Microsoft bestätigt, dass es sich um eine neue Sicherheitsfunktion handelt
  • Die Maßnahme verhindert das Stehlen von NTLM-Hashes durch Angreifer
  • Betroffen sind Windows 11 und diverse Windows-Server-Versionen
  • Nutzer können die Vorschau-Sperre manuell entfernen
  • Deaktivierung der Sicherheitsfunktion öffnet die Schwachstelle wieder

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!