Details zur Sicherheitslücke im Windows-Editor bekannt geworden

Die aktuellen Patchday-Updates schließen eine Schwachstelle im Windows-Editor, über die Angreifer Schadcode einschleusen konnten. Inzwischen sind weitere Details zu der Sicherheitslücke veröffentlicht worden. Eine im Februar 2026 von Microsoft geschlossene Schwachstelle im Windows-Texteditor Notepad ermöglichte es Angreifern, über präparierte Markdown-Dateien beliebigen Code auf dem Zielsystem auszuführen. Entdeckt wurde der Fehler von Sicherheitsforschern zweier unabhängiger Teams.

Hintergrund: Modernes Notepad mit erweitertem Funktionsumfang

Der in Windows integrierte Texteditor Notepad hat in aktuellen Windows-Versionen deutlich an Funktionalität gewonnen. Neben der Unterstützung verschiedener Dateiformate bietet die Anwendung inzwischen Markdown-Rendering sowie Copilot-gestützte Features. Markdown ist eine Auszeichnungssprache, die strukturierten Text über eine schlichte Syntax erzeugt und unter anderem Überschriften, Listen und Hyperlinks unterstützt. Genau diese Hyperlink-Funktion stand im Mittelpunkt der nun behobenen Schwachstelle.

Technische Details der Schwachstelle

Forscher von TrendAI Research Services sowie von Delta Obscura haben die als CVE-2026-20841 katalogisierte Lücke in Notepad.exe Version 11.2508 analysiert. Der Fehler liegt in der unzureichenden Validierung von Link-Pfaden beim Verarbeiten von Markdown-Dateien.

Öffnet Notepad eine Datei mit der Endung .md, erkennt die Anwendung anhand eines festen Zeichenfolgenvergleichs, dass Markdown-Rendering erforderlich ist, und übergibt den Inhalt zur Verarbeitung an die entsprechende Routine. Beim Klick auf einen Link in einer solchen Datei übernimmt die Funktion sub_140170F60() die Verarbeitung des Link-Pfades und reicht diesen an den Windows-API-Aufruf ShellExecuteExW() weiter.

Das Problem: Die vorgelagerte Filterung des Link-Pfades war nicht ausreichend. Dadurch war es möglich, speziell konstruierte Protokoll-URIs wie file:// oder ms-appinstaller:// in den Link einzubetten. Da ShellExecuteExW() die im System konfigurierten Protokoll-Handler verwendet, konnte über solche URIs das Ausführen beliebiger Dateien im Sicherheitskontext des angemeldeten Nutzers ausgelöst werden. Je nach Systemkonfiguration könnten weitere Protokolle auf diesem Weg missbraucht werden.

Ablauf eines Angriffsszenarios

Für eine erfolgreiche Ausnutzung musste ein Angreifer das Opfer dazu bringen, eine manipulierte Markdown-Datei herunterzuladen, in Notepad zu öffnen und anschließend auf den eingebetteten Link zu klicken. Ein direkter, vollständig automatisierter Angriff ohne Nutzerinteraktion war damit nicht möglich.

Zu beachten ist, dass .md-Dateien unter Windows standardmäßig nicht mit Notepad verknüpft sind. Das Öffnen solcher Dateien in Notepad — etwa manuell über das Kontextmenü — reicht jedoch aus, um das Markdown-Rendering und damit die Schwachstelle zu aktivieren. Außerdem werden doppelte Backslash-Sequenzen (\\) im Linkpfad vor der Übergabe an ShellExecuteExW() automatisch in einfache Backslashes (\) umgewandelt.

Erkennung im Netzwerkverkehr

Zur Erkennung von Angriffen empfehlen die Forscher, den Netzwerkverkehr auf Dateiübertragungen mit der Endung .md zu überwachen. Dabei sind Inhalte auf verdächtige Link-Pfade zu prüfen, die die Zeichenfolgen file: oder ms-appinstaller: enthalten — unabhängig von Groß- oder Kleinschreibung.

Relevante Protokolle und Ports für die Überwachung umfassen unter anderem SMB/CIFS (Port 139/TCP, 445/TCP), HTTP/HTTPS (Port 80/TCP, 443/TCP), FTP (Port 21/TCP, 20/TCP) sowie SMTP, IMAP, POP3 und NFS.

Die Forscher weisen darauf hin, dass sich der herstellerseitige Patch auf eine Einschränkung von Links auf lokale Dateien und HTTP(S)-URIs konzentriert. Eine auf dieser Basis formulierte Erkennungsregel würde zahlreiche Fehlalarme erzeugen, weshalb die vorgeschlagene Erkennungslogik gezielt auf Protokolle ausgerichtet ist, die den Zugriff auf entfernte Dateien ermöglichen — auf Kosten möglicher Fehlnegative.

„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“

Weiterlesen

---