20. März 2025
Eine schwerwiegende Zero-Day-Schwachstelle in Windows wird seit Jahren von mindestens 11 Hackergruppen ausgenutzt, die Verbindungen zu Nationalstaaten wie Nordkorea, Iran, Russland und China haben. Trotz eindeutiger Hinweise auf weit verbreitete Angriffe, die bis ins Jahr 2017 zurückreichen, lehnt Microsoft einen Sicherheitspatch ab und stuft das Problem als nicht relevant genug für eine Behebung ein.
Die Sicherheitslücke, von Trend Micro als ZDI-CAN-25373 bezeichnet, ermöglicht es Angreifern, Schadcode auf Windows-Systemen auszuführen, indem sie Befehle in Verknüpfungsdateien (.lnk) verstecken. Microsoft wurde durch die Zero Day Initiative von Trend Micro auf die Schwachstelle aufmerksam gemacht, entschied jedoch, sie als geringfügig einzustufen und kein sofortiges Sicherheitsupdate bereitzustellen. Zudem wurde der Schwachstelle keine CVE-Kennung zugewiesen.
„Wir haben fast tausend Shell-Link-Beispiele (.lnk) entdeckt, die ZDI-CAN-25373 ausnutzen. Es ist jedoch wahrscheinlich, dass die tatsächliche Zahl der Angriffsversuche weitaus höher liegt“, erklärten Forscher von Trend Micro in einem Blogbeitrag, der auf Hackread.com veröffentlicht wurde.
Die Sicherheitslücke beruht auf der Art und Weise, wie Windows Informationen zu Verknüpfungsdateien darstellt. Wenn ein Nutzer die Eigenschaften einer Datei über das Kontextmenü aufruft, blendet Windows bösartige, in der Datei eingebettete Befehle aus.
Angreifer nutzen diesen Mechanismus, indem sie eine große Anzahl unsichtbarer Zeichen, wie Leerzeichen oder andere Steuerzeichen, in die Befehlszeilenargumente der Verknüpfungsdatei einfügen. Dadurch werden die schädlichen Befehle so weit nach rechts verschoben, dass sie in der Windows-Oberfläche nicht sichtbar sind, wodurch die Datei harmlos erscheint.
Besonders besorgniserregend ist, dass nordkoreanische Bedrohungsakteure wie Earth Manticore (APT37) und Earth Imp (Konni) diese Technik weiterentwickelt haben. Sie erstellen extrem große Verknüpfungsdateien mit einer Größe von bis zu 70 MB, um die Erkennung durch Sicherheitssysteme zu erschweren. Die Methode ist so effektiv, dass sie seit Jahren von verschiedenen staatlich unterstützten Hackergruppen eingesetzt wird.
Hackergruppen nutzen Sicherheitslücke gezielt aus
Laut einer Analyse eines Sicherheitsunternehmens wird die Schwachstelle aktiv von staatlich unterstützten Hackern ausgenutzt. Fast die Hälfte dieser Angreifer stammt aus Nordkorea, während die übrigen Gruppen Verbindungen zu Iran, Russland und China aufweisen. Etwa 70 % der Angriffe dienen Spionage- und Informationsdiebstahlzwecken, während mehr als 20 % auf finanziellen Profit abzielen.
Besonders gefährdet sind Organisationen aus verschiedenen Branchen, darunter:
- Regierungsbehörden
- Energieunternehmen
- Finanzinstitute
- Militär und Verteidigung
- Telekommunikationsanbieter
Während die meisten Opfer in Nordamerika identifiziert wurden, sind auch Angriffe in Europa, Asien, Südamerika und Australien dokumentiert. Gleichzeitig gerät Microsoft in die Kritik, da die schwerwiegende Sicherheitslücke bislang nicht geschlossen wurde.
ZDI und Microsoft: Kontroverse um Cybersicherheit
ZDI hat Microsoft erneut wegen des Umgangs mit einer Sicherheitslücke kritisiert. Bereits im Juli 2024 warf ZDI dem Unternehmen mangelnde Transparenz vor, da eine entdeckte Schwachstelle im Patch-Dienstag-Update nicht erwähnt wurde. Auch Haifei Li von Check Point, der die gleiche Sicherheitslücke unabhängig entdeckte, blieb unerwähnt – ein weiteres Beispiel für die unzureichende Kommunikation seitens Microsoft.
Besonders besorgniserregend ist, dass Microsoft beschlossen hat, keinen Patch für die Schwachstelle bereitzustellen, wodurch Millionen von Nutzern potenziellen Cyber-Bedrohungen ausgesetzt bleiben. Hacker mit staatlicher Unterstützung könnten diese weiterhin ausnutzen, was Organisationen erheblich gefährdet.
Zum Schutz sollten Unternehmen auf eine leistungsstarke EDR-Lösung setzen, um schädliche .lnk-Dateien zu erkennen und zu blockieren. Zudem ist es ratsam, den Netzwerkverkehr auf Anzeichen von Angriffen zu überwachen, Mitarbeiter im Umgang mit verdächtigen Links zu schulen und aktuelle Sicherheitswarnungen im Blick zu behalten.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
CrackArmor: AppArmor-Schwachstellen ermöglichen Root-Zugriff auf über 12 Millionen Linux-Systemen
KI-Agenten als interne Sicherheitsrisiken: Was Experimente zeigen
MCP-Sicherheitsstudie: 555 Server mit riskanten Tool-Kombinationen identifiziert
SOX-Compliance in SAP: Anforderungen, IT-Kontrollen und der Weg zur Automatisierung
Irans Cyberoperationen vor „Epic Fury“: Gezielter Infrastrukturaufbau und Hacktivisten-Welle nach den Angriffen
Studien
Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich
Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen
Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Whitepaper
Quantifizierung und Sicherheit mit modernster Quantentechnologie
KI-Betrug: Interpol warnt vor industrialisierter Finanzkriminalität – 4,5-fach profitabler
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Hamsterrad-Rebell
Sichere Enterprise Browser und Application Delivery für moderne IT-Organisationen
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
