Microsoft entschärft stillschweigend gravierende Windows-Lücke
Microsoft hat ohne größere Ankündigung eine gravierende Schwachstelle in Windows entschärft, die bereits seit Monaten von mehreren staatlich unterstützten Hackergruppen sowie Cybercrime-Banden in aktiven Angriffen ausgenutzt wurde.
Die Kriminellen setzen dafür gezielt auf Social Engineering: Da E-Mail-Dienste .lnk-Dateien meist blockieren, werden die schädlichen Verknüpfungen in ZIP- oder anderen Archivformaten verschleiert. Die eigentliche Schwachstelle liegt in der Art, wie Windows die Eigenschaften solcher Dateien anzeigt, berichtete das US-Magazin BleepingComputer. Durch das Einfügen von großen Mengen an Leerzeichen im sogenannten Target-Feld lassen sich lange, bösartige Befehlszeilen verschleiern. Windows zeigt standardmäßig nur die ersten 260 Zeichen an, der gefährliche Rest bleibt für Nutzer unsichtbar.
Bereits im März hatten Sicherheitsforscher von Trend Micro darauf hingewiesen, dass die Schwachstelle in großem Umfang von mindestens elf bekannten Hackergruppen ausgenutzt wurde. Darunter befanden sich Gruppen wie APT37, Kimsuky, Mustang Panda, SideWinder und die russische Cybercrime-Bande Evil Corp. Beobachtet wurden Angriffe mit Schadprogrammen wie Ursnif, Gh0st RAT und Trickbot, die teils über Malware-as-a-Service-Plattformen verbreitet wurden.
Im Herbst registrierten Analysten der Arctic Wolf Labs zudem gezielte Angriffe auf europäische Diplomaten, insbesondere in Ungarn und Belgien. Verantwortlich sei erneut die chinesische Gruppe Mustang Panda gewesen, die die Schwachstelle nutzte, um den Fernzugriff-Trojaner PlugX zu installieren.
Acros Security bietet deshalb einen inoffiziellen Patch über die 0patch-Plattform an. Dieser begrenzt Zielpfade auf maximal 260 Zeichen und weist Nutzer aktiv auf verdächtig lange Befehlszeilen hin. Die Lösung soll Angriffe, wie sie bereits im Umlauf sind, effektiv verhindern. Das Micropatch steht für Pro- und Enterprise-Kunden zur Verfügung.
Siehe auch:
Schadcode in .lnk-Verknüpfungen
Die Lücke, katalogisiert als CVE-2025-9491, betrifft den Umgang des Betriebssystems mit Windows-Verknüpfungsdateien (.lnk) und ermöglicht es Angreifern, versteckte Schadbefehle in solchen Dateien zu platzieren. Wird eine solche manipulierte Verknüpfung durch den Nutzer geöffnet, kann Malware nachgeladen und dauerhaft im System verankert werden.Die Kriminellen setzen dafür gezielt auf Social Engineering: Da E-Mail-Dienste .lnk-Dateien meist blockieren, werden die schädlichen Verknüpfungen in ZIP- oder anderen Archivformaten verschleiert. Die eigentliche Schwachstelle liegt in der Art, wie Windows die Eigenschaften solcher Dateien anzeigt, berichtete das US-Magazin BleepingComputer. Durch das Einfügen von großen Mengen an Leerzeichen im sogenannten Target-Feld lassen sich lange, bösartige Befehlszeilen verschleiern. Windows zeigt standardmäßig nur die ersten 260 Zeichen an, der gefährliche Rest bleibt für Nutzer unsichtbar.
Bereits im März hatten Sicherheitsforscher von Trend Micro darauf hingewiesen, dass die Schwachstelle in großem Umfang von mindestens elf bekannten Hackergruppen ausgenutzt wurde. Darunter befanden sich Gruppen wie APT37, Kimsuky, Mustang Panda, SideWinder und die russische Cybercrime-Bande Evil Corp. Beobachtet wurden Angriffe mit Schadprogrammen wie Ursnif, Gh0st RAT und Trickbot, die teils über Malware-as-a-Service-Plattformen verbreitet wurden.
Im Herbst registrierten Analysten der Arctic Wolf Labs zudem gezielte Angriffe auf europäische Diplomaten, insbesondere in Ungarn und Belgien. Verantwortlich sei erneut die chinesische Gruppe Mustang Panda gewesen, die die Schwachstelle nutzte, um den Fernzugriff-Trojaner PlugX zu installieren.
Inoffizieller Patch
Microsoft hat die Angelegenheit lange nicht als echte Sicherheitslücke eingestuft und argumentierte, dass eine Nutzerinteraktion erforderlich sei und Windows eine Warnung zeige. Mit den Updates des letzten Patch-Days wurden nun aber Änderungen vorgenommen, die das Problem beseitigen sollten. Seitdem zeigt Windows in den Eigenschaften einer Verknüpfung den vollständigen Zielpfad an. Experten wie 0patch-Mitgründer Mitja Kolsek sehen darin jedoch noch keinen echten Fix: Die schädlichen Befehle bleiben weiterhin vorhanden, und Windows warnt auch bei extrem langen Target-Strings nicht.Acros Security bietet deshalb einen inoffiziellen Patch über die 0patch-Plattform an. Dieser begrenzt Zielpfade auf maximal 260 Zeichen und weist Nutzer aktiv auf verdächtig lange Befehlszeilen hin. Die Lösung soll Angriffe, wie sie bereits im Umlauf sind, effektiv verhindern. Das Micropatch steht für Pro- und Enterprise-Kunden zur Verfügung.
Zusammenfassung
- Microsoft schließt Windows-Schwachstelle CVE-2025-9491 bei .lnk-Dateien
- Angreifer konnten durch versteckte Befehle in Verknüpfungen Malware einschleusen
- Mindestens elf Hackergruppen nutzten die Lücke seit Monaten für ihre Angriffe
- Manipulation erfolgte durch Einfügen vieler Leerzeichen im Target-Feld
- Europäische Diplomaten in Ungarn und Belgien wurden gezielt attackiert
- Microsoft reagierte erst spät und zeigt nun den vollständigen Zielpfad an
- Acros Security bietet zusätzlichen Patch mit aktiven Warnfunktionen
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen