Microsoft behebt heimlich jahrelange Windows-Sicherheitslücke

Fast ein Jahrzehnt lang konnten Hacker bösartigen Code in Windows-Verknüpfungen verstecken – für Nutzer komplett unsichtbar. Jetzt hat Microsoft die Schwachstelle still und leise geschlossen.

Ein subtiler, aber bedeutsamer Schritt von Microsoft: Der Konzern aus Redmond hat diese Woche eine Sicherheitslücke in Windows-Verknüpfungsdateien (LNK) geschlossen, die Angreifer seit fast zehn Jahren aktiv ausnutzten. Die als CVE-2025-9491 gelistete Schwachstelle ermöglichte es, Schadcode in Verknüpfungen so zu tarnen, dass er in den Dateieigenschaften völlig unsichtbar blieb.

Der Patch, den Sicherheitsforscher Anfang dieser Woche bestätigten, beseitigt ein Problem in der Benutzeroberfläche, das staatlich unterstützte Hackergruppen seit mindestens 2017 für Angriffe auf Regierungsstellen und diplomatische Einrichtungen nutzten.

Viele Unternehmen sind auf ausgefeilte Angriffe wie die kürzlich geschlossene LNK-Schwachstelle nicht ausreichend vorbereitet. Studien zeigen, dass 73% der deutschen Firmen in Kernbereichen verwundbar sind – oft genügen kleine Konfigurationsfehler. Ein kostenloses E‑Book erklärt praxisnah, welche Maßnahmen jetzt sofort greifen, welche Prioritäten IT‑Verantwortliche setzen sollten und liefert Checklisten für Sofortmaßnahmen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Der Kern der Schwachstelle lag in der Art und Weise, wie Windows die Eigenschaften von LNK-Dateien anzeigte. Während die technische Struktur von Windows-Verknüpfungen theoretisch Zielbefehle von bis zu 32.000 Zeichen unterstützt, zeigte der Standard-Eigenschaftendialog im Windows Explorer bislang nur die ersten 260 Zeichen des Zielfelds an.

Angreifer nutzten diese Interface-Beschränkung geschickt aus: Sie füllten den Anfang eines schädlichen Befehls mit hunderten Leerzeichen oder Tabulatoren. Für einen Nutzer, der die Datei prüfte, wirkte das Zielfeld leer oder harmlos – vielleicht verwies es scheinbar auf ein Standard-Systemwerkzeug wie conhost.exe. Doch jenseits der sichtbaren 260-Zeichen-Grenze lauerte der eigentliche Schadcode, oft PowerShell-Skripte oder Befehle zum Nachladen von Malware.

„Das war ein klassischer Fall, bei dem die Benutzeroberfläche den Nutzer belog”, erklärte ein Forscher von Acros Security’s 0patch, der Organisation, die den stillen Fix diese Woche identifizierte. „Das System erlaubte die Ausführung eines riesigen Skripts, aber die Oberfläche zeigte nur den harmlosen Vorspann.”

Jahre der Ablehnung

Der Weg zu diesem Patch verlief alles andere als glatt. Im März 2025 machte die Zero Day Initiative (ZDI) von Trend Micro Microsoft formell auf die Lücke aufmerksam – unter der internen Kennung ZDI-CAN-25373. Die ZDI-Forscher Peter Girnus und Aliakbar Zahravi hatten zu diesem Zeitpunkt bereits fast 1.000 schädliche LNK-Dateien identifiziert, die bis ins Jahr 2017 zurückreichten.

Trotz dieser Beweise weigerte sich Microsoft zunächst, das Problem als echte Sicherheitslücke einzustufen. In einer Stellungnahme argumentierte das Unternehmen, die Schwachstelle erfülle nicht die Kriterien für eine sofortige Behebung. Die Begründung: Es sei Nutzerinteraktion erforderlich (der Klick auf die Verknüpfung), und die „Mark of the Web”-Warnungen für aus dem Internet heruntergeladene Dateien würden bereits Schutz bieten.

Doch dann eskalierte die Lage. Im Oktober 2025 enthüllte die Sicherheitsfirma Arctic Wolf eine ausgefeilte Spionagekampagne gegen europäische Diplomatenstellen in Ungarn und Belgien. Die Angreifer – die der chinesischen Gruppe UNC6384 (auch bekannt als „Mustang Panda”) zugerechnet werden – nutzten exakt diese LNK-Schwachstelle, um den PlugX-Fernzugriffstrojaner einzuschleusen.

Die heimliche Kehrtwende

Nach Bekanntwerden der diplomatischen Angriffe vollzog Microsoft offenbar einen Kurswechsel. Laut einer am 3. Dezember veröffentlichten Analyse von 0patch hat Microsoft eine Behebung der Schwachstelle in seine jüngsten kumulativen Updates integriert – wahrscheinlich im Rahmen des Patch-Dienstags im November 2025.

Bemerkenswert: Dieser Fix wurde nicht in den Standard-Listen der kritischen Schwachstellen hervorgehoben, weshalb Forscher von einem „Silent Patch” sprechen.

Die Lösung ändert das Verhalten des Windows-Eigenschaftendialogs. Seit dem jüngsten Update zwingt Windows das System nun dazu, die gesamte Befehlszeichenkette anzuzeigen – unabhängig von ihrer Länge. Diese simple Anpassung der Benutzeroberfläche macht die Verschleierungstechnik wirkungslos: Versucht ein Angreifer, Code hinter Leerzeichen zu verstecken, sieht der Nutzer nun entweder den vollständigen schädlichen String oder kann zumindest erkennen, dass der Befehl verdächtig weit über das sichtbare Fenster hinausreicht.

Ein Schlussstrich unter eine Ära

Die Behebung von CVE-2025-9491 schließt einen wichtigen „Living off the Land”-Angriffsvektor. LNK-Dateien waren bei Hackern beliebt, weil sie zum Windows-System gehören und oft grundlegende E-Mail-Filter umgehen, die ausführbare Dateien wie .exe oder .bat blockieren.

„Microsoft hat nicht verändert, wie LNK-Dateien funktionieren, aber die Fähigkeit des Nutzers wiederhergestellt, eine informierte Entscheidung zu treffen”, analysiert ein leitender Bedrohungsexperte. „Acht Jahre lang war der Ratschlag, die Eigenschaften zu prüfen, bei dieser speziellen Technik praktisch wertlos. Jetzt hat diese Sicherheitsempfehlung wieder Substanz.”

Die Verzögerung bei der Behebung hat dennoch Kritik ausgelöst. Dass die Schwachstelle jahrelang durch Gruppen aus China, Iran, Nordkorea und Russland ausgenutzt wurde, bevor ein Fix kam, verdeutlicht die komplexe Risikoabwägung, die Softwarehersteller vornehmen müssen – zwischen theoretischer Schwere und tatsächlicher Ausnutzung in freier Wildbahn.

Was kommt als Nächstes? Unternehmen sollten umgehend prüfen, ob ihre Systeme die neuesten Windows-Updates verarbeitet haben. Während der Patch nun verfügbar ist, dürften Angreifer den Trick weiterhin gegen ungepatchte Altsysteme versuchen.

Cybersecurity-Experten erwarten für 2026 eine Taktikänderung: Mit dem nun geschlossenen „Leerzeichen-Trick” werden Angreifer voraussichtlich auf andere Verschleierungsmethoden ausweichen oder verstärkt auf alternative Dateiformate wie OneNote (.one) oder Disk-Images (.iso) setzen, um Schadcode an Perimeter-Schutzmaßnahmen vorbeizuschleusen.

PS: Wenn Sie verhindern wollen, dass Angreifer über verschleierte Dateien oder Phishing in Ihre Systeme gelangen, ist ein kompakter Leitfaden mit klaren Schritten hilfreich. Das kostenlose E‑Book zeigt, wie Sie Sicherheitslücken erkennen, Mitarbeiter schützen und schnelle Schutzmaßnahmen umsetzen – praxisnah und ohne große IT‑Budgets. Jetzt E‑Book zur Cyber-Security herunterladen