Eine schwerwiegende Zero-Day-Schwachstelle in Windows wird seit Jahren von mindestens 11 Hackergruppen ausgenutzt, die Verbindungen zu Nationalstaaten wie Nordkorea, Iran, Russland und China haben. Trotz eindeutiger Hinweise auf weit verbreitete Angriffe, die bis ins Jahr 2017 zurückreichen, lehnt Microsoft einen Sicherheitspatch ab und stuft das Problem als nicht relevant genug für eine Behebung ein.
Die Sicherheitslücke, von Trend Micro als ZDI-CAN-25373 bezeichnet, ermöglicht es Angreifern, Schadcode auf Windows-Systemen auszuführen, indem sie Befehle in Verknüpfungsdateien (.lnk) verstecken. Microsoft wurde durch die Zero Day Initiative von Trend Micro auf die Schwachstelle aufmerksam gemacht, entschied jedoch, sie als geringfügig einzustufen und kein sofortiges Sicherheitsupdate bereitzustellen. Zudem wurde der Schwachstelle keine CVE-Kennung zugewiesen.
„Wir haben fast tausend Shell-Link-Beispiele (.lnk) entdeckt, die ZDI-CAN-25373 ausnutzen. Es ist jedoch wahrscheinlich, dass die tatsächliche Zahl der Angriffsversuche weitaus höher liegt“, erklärten Forscher von Trend Micro in einem Blogbeitrag, der auf Hackread.com veröffentlicht wurde.
Die Sicherheitslücke beruht auf der Art und Weise, wie Windows Informationen zu Verknüpfungsdateien darstellt. Wenn ein Nutzer die Eigenschaften einer Datei über das Kontextmenü aufruft, blendet Windows bösartige, in der Datei eingebettete Befehle aus.
Angreifer nutzen diesen Mechanismus, indem sie eine große Anzahl unsichtbarer Zeichen, wie Leerzeichen oder andere Steuerzeichen, in die Befehlszeilenargumente der Verknüpfungsdatei einfügen. Dadurch werden die schädlichen Befehle so weit nach rechts verschoben, dass sie in der Windows-Oberfläche nicht sichtbar sind, wodurch die Datei harmlos erscheint.
Besonders besorgniserregend ist, dass nordkoreanische Bedrohungsakteure wie Earth Manticore (APT37) und Earth Imp (Konni) diese Technik weiterentwickelt haben. Sie erstellen extrem große Verknüpfungsdateien mit einer Größe von bis zu 70 MB, um die Erkennung durch Sicherheitssysteme zu erschweren. Die Methode ist so effektiv, dass sie seit Jahren von verschiedenen staatlich unterstützten Hackergruppen eingesetzt wird.
Hackergruppen nutzen Sicherheitslücke gezielt aus
Laut einer Analyse eines Sicherheitsunternehmens wird die Schwachstelle aktiv von staatlich unterstützten Hackern ausgenutzt. Fast die Hälfte dieser Angreifer stammt aus Nordkorea, während die übrigen Gruppen Verbindungen zu Iran, Russland und China aufweisen. Etwa 70 % der Angriffe dienen Spionage- und Informationsdiebstahlzwecken, während mehr als 20 % auf finanziellen Profit abzielen.
Besonders gefährdet sind Organisationen aus verschiedenen Branchen, darunter:
- Regierungsbehörden
- Energieunternehmen
- Finanzinstitute
- Militär und Verteidigung
- Telekommunikationsanbieter
Während die meisten Opfer in Nordamerika identifiziert wurden, sind auch Angriffe in Europa, Asien, Südamerika und Australien dokumentiert. Gleichzeitig gerät Microsoft in die Kritik, da die schwerwiegende Sicherheitslücke bislang nicht geschlossen wurde.
ZDI und Microsoft: Kontroverse um Cybersicherheit
ZDI hat Microsoft erneut wegen des Umgangs mit einer Sicherheitslücke kritisiert. Bereits im Juli 2024 warf ZDI dem Unternehmen mangelnde Transparenz vor, da eine entdeckte Schwachstelle im Patch-Dienstag-Update nicht erwähnt wurde. Auch Haifei Li von Check Point, der die gleiche Sicherheitslücke unabhängig entdeckte, blieb unerwähnt – ein weiteres Beispiel für die unzureichende Kommunikation seitens Microsoft.
Besonders besorgniserregend ist, dass Microsoft beschlossen hat, keinen Patch für die Schwachstelle bereitzustellen, wodurch Millionen von Nutzern potenziellen Cyber-Bedrohungen ausgesetzt bleiben. Hacker mit staatlicher Unterstützung könnten diese weiterhin ausnutzen, was Organisationen erheblich gefährdet.
Zum Schutz sollten Unternehmen auf eine leistungsstarke EDR-Lösung setzen, um schädliche .lnk-Dateien zu erkennen und zu blockieren. Zudem ist es ratsam, den Netzwerkverkehr auf Anzeichen von Angriffen zu überwachen, Mitarbeiter im Umgang mit verdächtigen Links zu schulen und aktuelle Sicherheitswarnungen im Blick zu behalten.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Zehn Dinge, die Sie gestern hätten tun müssen, um die NIS2-Vorschriften einzuhalten
Pentera API-Sicherheitsautomatisierung: Erweiterte Anwendungsfälle für Cybersicherheit
Rückblick auf CH4TTER: Erkenntnisse ein Jahr nach der Veröffentlichung des SAP Threat Landscape Reports
Sicherung von SAP BTP – Bedrohungsüberwachung: Erkennung unbefugter Änderungen und Anzeichen für Kompromittierung
Was ist Active Directory-Sicherheit?
Studien
DefTech-Startups: Deutschland kann sich derzeit kaum verteidigen
Gartner-Umfrage: 85 % der CEOs geben an, dass Cybersicherheit für das Unternehmenswachstum entscheidend ist
Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen
Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details
Studie zu Cyberangriffen auf Versorgungsunternehmen
Whitepaper
FBI: USA verlieren 2024 Rekordbetrag von 16,6 Milliarden US-Dollar durch Cyberkriminalität
EMEA-Region im Fokus: Systemangriffe laut Verizon-Report 2025 verdoppelt
IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu
Kuppinger-Cole-Analyse zeigt: CIAM als Schlüsselelement der digitalen Transformation
Smart Security: IT- und Sicherheitsteams kommen langfristig nicht mehr ohne KI aus
Hamsterrad-Rebell
Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
Anmeldeinformationen und credential-basierte Angriffe
Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen
Data Security Posture Management – Warum ist DSPM wichtig?
