Neuen Sicherheitsberichten zufolge wird eine seit langem bestehende Schwachstelle in Windows-Verknüpfungsdateien (LNK) von staatlich geförderten Hackergruppen aktiv ausgenutzt, um Cyberangriffe gegen Regierungsstellen und Diplomaten zu starten. Der als CVE-2025-9491 verfolgte Fehler ermöglicht es Angreifern, bösartigen Code in den scheinbar harmlosen Verknüpfungssymbolen zu verstecken, die täglich von Millionen von Benutzern verwendet werden. Trotz der wachsenden Zahl von Angriffen hat Microsoft Berichten zufolge beschlossen, keinen direkten Patch für das Problem zu veröffentlichen, da das Risiko besteht, dass legitime Betriebssystemfunktionen beeinträchtigt werden. Windows-LNK-Dateien werden normalerweise verwendet, um auf Anwendungen oder Dokumente zu verweisen. Sie können jedoch auch so konfiguriert werden, dass sie Systembefehle ausführen. Die Sicherheitslücke liegt darin, wie Windows dem Benutzer diese Dateieigenschaften anzeigt. Während die Windows-Benutzeroberfläche nur die ersten 255 Zeichen des Zielpfads einer Verknüpfung anzeigt, unterstützt das Dateiformat selbst bis zu 4.096 Zeichen. Angreifer nutzen diese Lücke aus, indem sie ihre bösartigen Befehle mit umfangreichen Leerzeichen „auffüllen“. Wenn ein Benutzer die Dateieigenschaften überprüft, sieht er einen harmlosen Pfad, aber die versteckten bösartigen Argumente – wie PowerShell-Skripte, die Malware herunterladen – werden sofort beim Öffnen der Datei ausgeführt. Sicherheitsforscher haben diese Technik mit aufsehenerregenden Spionagekampagnen in Verbindung gebracht. Eine Gruppe, die als XDSpy verfolgt wird, hat Regierungsbehörden in Osteuropa ins Visier genommen. Bei diesen Angriffen nutzte die Gruppe LNK-Dateien, um eine legitime, von Microsoft signierte ausführbare Datei auszulösen. Diese ausführbare Datei hat dann eine schädliche DLL-Datei von der Seite geladen, um die Nutzlast „XDigo“ zu installieren, die in der Lage ist, vertrauliche Daten zu stehlen, Screenshots zu erfassen und Tastatureingaben zu protokollieren. Ein weiterer Bedrohungsakteur mit der Bezeichnung UNC6384 wurde dabei beobachtet, wie er europäische Diplomaten ins Visier nahm. Diese Gruppe verwendet ähnliche Taktiken zum Auffüllen von Leerzeichen, um PowerShell-Befehle zu verbergen, die den Fernzugriffstrojaner PlugX einsetzen, ein Tool, das häufig mit chinesischen Cyberspionageoperationen in Verbindung gebracht wird. Berichten zufolge wurden diese Angriffe genutzt, um Systeme in Ungarn, Belgien und anderen NATO-nahen Ländern zu kompromittieren. Laut Berichten von Help Net Security hat Microsoft festgestellt, dass diese spezifische Schwachstelle „die Anforderungen an die Behebung nicht erfüllt“. Das Unternehmen vertritt den Standpunkt, dass die Fähigkeit von Verknüpfungen zum Starten von Programmen mit Argumenten ein grundlegendes Merkmal des Windows-Betriebssystems ist und dass eine Änderung dieses Verhaltens legitime Software stören könnte. Anstelle einer Codekorrektur verlässt sich Microsoft auf sein Sicherheitsökosystem, um die Bedrohung abzuschwächen. Das Unternehmen gibt an, dass Microsoft Defender in der Lage ist, schädliche Verknüpfungen zu kennzeichnen, und dass seine Smart App Control-Funktion nicht vertrauenswürdige Dateien blockieren kann, die aus dem Internet heruntergeladen werden. Sicherheitsexperten raten Benutzern, LNK-Dateien mit der gleichen Vorsicht zu behandeln wie ausführbare Dateien (.EXE), insbesondere wenn sie per E-Mail oder in ZIP-Archiven eingehen. Da die Windows-Oberfläche möglicherweise nicht die volle Gefahr einer Datei erkennen lässt, ist eine visuelle Inspektion keine zuverlässige Sicherheitsmaßnahme mehr. Für Unternehmensumgebungen wird Sicherheitsteams empfohlen, Richtlinien wie AppLocker zu konfigurieren, um zu verhindern, dass Verknüpfungsdateien Befehlszeilentools wie PowerShell starten. Für einzelne Benutzer bleibt die Aktualisierung der Antivirensoftware die wichtigste Verteidigungslinie gegen diese „Zero-Click“- oder Single-Click-Execution-Angriffe.
