Zero-Day-Schwachstelle: Warum Microsoft nicht handelt

Eine schwerwiegende Zero-Day-Schwachstelle in Windows wird seit Jahren von mindestens 11 Hackergruppen ausgenutzt, die Verbindungen zu Nationalstaaten wie Nordkorea, Iran, Russland und China haben. Trotz eindeutiger Hinweise auf weit verbreitete Angriffe, die bis ins Jahr 2017 zurückreichen, lehnt Microsoft einen Sicherheitspatch ab und stuft das Problem als nicht relevant genug für eine Behebung ein.

Die Sicherheitslücke, von Trend Micro als ZDI-CAN-25373 bezeichnet, ermöglicht es Angreifern, Schadcode auf Windows-Systemen auszuführen, indem sie Befehle in Verknüpfungsdateien (.lnk) verstecken. Microsoft wurde durch die Zero Day Initiative von Trend Micro auf die Schwachstelle aufmerksam gemacht, entschied jedoch, sie als geringfügig einzustufen und kein sofortiges Sicherheitsupdate bereitzustellen. Zudem wurde der Schwachstelle keine CVE-Kennung zugewiesen.

„Wir haben fast tausend Shell-Link-Beispiele (.lnk) entdeckt, die ZDI-CAN-25373 ausnutzen. Es ist jedoch wahrscheinlich, dass die tatsächliche Zahl der Angriffsversuche weitaus höher liegt“, erklärten Forscher von Trend Micro in einem Blogbeitrag, der auf Hackread.com veröffentlicht wurde.

Die Sicherheitslücke beruht auf der Art und Weise, wie Windows Informationen zu Verknüpfungsdateien darstellt. Wenn ein Nutzer die Eigenschaften einer Datei über das Kontextmenü aufruft, blendet Windows bösartige, in der Datei eingebettete Befehle aus.

Angreifer nutzen diesen Mechanismus, indem sie eine große Anzahl unsichtbarer Zeichen, wie Leerzeichen oder andere Steuerzeichen, in die Befehlszeilenargumente der Verknüpfungsdatei einfügen. Dadurch werden die schädlichen Befehle so weit nach rechts verschoben, dass sie in der Windows-Oberfläche nicht sichtbar sind, wodurch die Datei harmlos erscheint.

Besonders besorgniserregend ist, dass nordkoreanische Bedrohungsakteure wie Earth Manticore (APT37) und Earth Imp (Konni) diese Technik weiterentwickelt haben. Sie erstellen extrem große Verknüpfungsdateien mit einer Größe von bis zu 70 MB, um die Erkennung durch Sicherheitssysteme zu erschweren. Die Methode ist so effektiv, dass sie seit Jahren von verschiedenen staatlich unterstützten Hackergruppen eingesetzt wird.

Hackergruppen nutzen Sicherheitslücke gezielt aus

Laut einer Analyse eines Sicherheitsunternehmens wird die Schwachstelle aktiv von staatlich unterstützten Hackern ausgenutzt. Fast die Hälfte dieser Angreifer stammt aus Nordkorea, während die übrigen Gruppen Verbindungen zu Iran, Russland und China aufweisen. Etwa 70 % der Angriffe dienen Spionage- und Informationsdiebstahlzwecken, während mehr als 20 % auf finanziellen Profit abzielen.

Besonders gefährdet sind Organisationen aus verschiedenen Branchen, darunter:

Regierungsbehörden
Energieunternehmen
Finanzinstitute
Militär und Verteidigung
Telekommunikationsanbieter

Während die meisten Opfer in Nordamerika identifiziert wurden, sind auch Angriffe in Europa, Asien, Südamerika und Australien dokumentiert. Gleichzeitig gerät Microsoft in die Kritik, da die schwerwiegende Sicherheitslücke bislang nicht geschlossen wurde.

ZDI und Microsoft: Kontroverse um Cybersicherheit

ZDI hat Microsoft erneut wegen des Umgangs mit einer Sicherheitslücke kritisiert. Bereits im Juli 2024 warf ZDI dem Unternehmen mangelnde Transparenz vor, da eine entdeckte Schwachstelle im Patch-Dienstag-Update nicht erwähnt wurde. Auch Haifei Li von Check Point, der die gleiche Sicherheitslücke unabhängig entdeckte, blieb unerwähnt – ein weiteres Beispiel für die unzureichende Kommunikation seitens Microsoft.

Besonders besorgniserregend ist, dass Microsoft beschlossen hat, keinen Patch für die Schwachstelle bereitzustellen, wodurch Millionen von Nutzern potenziellen Cyber-Bedrohungen ausgesetzt bleiben. Hacker mit staatlicher Unterstützung könnten diese weiterhin ausnutzen, was Organisationen erheblich gefährdet.

Zum Schutz sollten Unternehmen auf eine leistungsstarke EDR-Lösung setzen, um schädliche .lnk-Dateien zu erkennen und zu blockieren. Zudem ist es ratsam, den Netzwerkverkehr auf Anzeichen von Angriffen zu überwachen, Mitarbeiter im Umgang mit verdächtigen Links zu schulen und aktuelle Sicherheitswarnungen im Blick zu behalten.

Bild/Quelle: https://depositphotos.com/de/home.html