Microsoft schließt heimlich Windows-Sicherheitslücke nach neun Jahren

Die Cybersecurity-Szene ist alarmiert: Microsoft hat im November 2025 eine kritische Windows-Schwachstelle behoben – ohne ein Wort darüber zu verlieren. Die Lücke, die seit fast einem Jahrzehnt von staatlichen Hackern ausgenutzt wurde, blieb in den offiziellen Patch-Notes unerwähnt. Sicherheitsforscher entdeckten die Änderung erst jetzt.

Acros Security, das Team hinter dem Micropatch-Dienst 0patch, machte den stillen Fix am Mittwoch öffentlich. Laut ihren Erkenntnissen hat Microsoft das Verhalten des Windows-Eigenschaften-Dialogs für LNK-Dateien (Verknüpfungen) grundlegend verändert.

Passend zum Thema IT‑Sicherheit: Viele Unternehmen unterschätzen, wie UI‑basierte Tricks und scheinbar harmlose Dateien wie manipulierte LNK‑Dateien zum Einfallstor werden. Der kostenlose E‑Book‑Report “Cyber Security Awareness Trends” erklärt, welche Angriffsvektoren aktuell am meisten Schäden verursachen und welche praktischen Maßnahmen IT‑Verantwortliche sofort umsetzen sollten. Inklusive Checklisten, Handlungsempfehlungen und Hinweisen zu neuen gesetzlichen Vorgaben. Jetzt E‑Book “Cyber Security Awareness Trends” herunterladen

Das perfekte Versteckspiel

Die Schwachstelle CVE-2025-9491 ermöglichte es Hackern, gefährliche Verknüpfungsdateien zu erstellen, bei denen schädliche Befehle – oft PowerShell-Skripte – mit Leerzeichen aufgefüllt wurden, um sie jenseits der 260-Zeichen-Grenze zu platzieren.

Überprüfte ein Nutzer die Datei-Eigenschaften zur Sicherheitskontrolle, sah er nur einen harmlosen oder leeren Pfad. Die versteckten Befehle blieben unsichtbar – ein perfekter Tarnmechanismus.

Nach den November-Updates zeigt Windows nun die gesamte Zielzeichenfolge im Eigenschaften-Tab an, unabhängig von ihrer Länge. Diese Änderung macht die Verschleierungstechnik praktisch wirkungslos.

Fast 1.000 bösartige Dateien im Umlauf

Das Timing der heimlichen Korrektur ist bemerkenswert, wenn man die Geschichte der Lücke betrachtet. Trend Micros Zero Day Initiative (ZDI) hatte das Problem bereits im März 2025 öffentlich gemacht und enthüllt, dass es mindestens seit 2017 aktiv ausgenutzt wurde.

Forscher identifizierten fast 1.000 bösartige Windows-Verknüpfungsdateien, die diese Schwachstelle in verschiedenen Angriffskampagnen ausnutzten. Die Attacken wurden mindestens elf verschiedenen Hackergruppen zugeordnet, darunter berüchtigte staatlich geförderte Akteure wie APT37 (Nordkorea), Mustang Panda (China) und das Cybercrime-Syndikat Evil Corp.

Trotz eindeutiger Missbrauchsnachweise lehnte Microsoft zunächst ab, einen formellen Sicherheitspatch zu veröffentlichen. Die Begründung: Das Problem erfülle nicht die Kriterien für sofortige Maßnahmen, da “das System Nutzer bereits warnt, dass dieses Format nicht vertrauenswürdig ist”, wenn Dateien aus dem Internet heruntergeladen werden.

Diplomaten im Visier chinesischer Hacker

Die Entscheidung, endlich einen Fix zu implementieren, scheint durch eine Welle jüngster Angriffe ausgelöst worden zu sein. Im Oktober 2025 beobachteten Forscher von Arctic Wolf Labs, wie die chinesisch-affiliierte Gruppe UNC6384 aktiv CVE-2025-9491 nutzte, um europäische diplomatische Einrichtungen in Ungarn, Belgien und Italien anzugreifen.

Diese Attacken setzten die LNK-Schwachstelle ein, um den PlugX-Remote-Access-Trojaner zu verteilen – ein gängiges Spionage-Werkzeug. Die Angreifer verteilten die bösartigen LNK-Dateien in ZIP-Archiven, um E-Mail-Filter zu umgehen.

Sobald ein Opfer die Verknüpfung öffnete – häufig als legitimes Dokument getarnt – führten die versteckten Befehle aus und verschafften den Hackern dauerhaften Zugriff auf das kompromittierte System.

Kontroverse um “stille” Sicherheitsupdates

Die Cybersecurity-Community reagiert gespalten auf die “stille” Art des Updates. Indem Microsoft weder eine CVE in den Patch-Notes vergab noch den Fix erwähnte, könnten manche Administratoren nicht bemerkt haben, dass sich ihre Sicherheitslage verbessert hat.

Mitja Kolsek, CEO von Acros Security, betonte, dass Microsofts Änderung zwar ein positiver Schritt sei, aber darauf basiere, dass Nutzer die Datei-Eigenschaften aktiv überprüfen. “Unser Patch würde die über 1.000 identifizierten bösartigen Verknüpfungen für alle betroffenen Nutzer unschädlich machen, während Microsofts Patch nur den vorsichtigsten unter ihnen erlaubt, die gesamte bösartige Befehlszeichenfolge zu sehen”, erklärte Kolsek.

Vor Microsofts Eingreifen hatte Acros Security bereits einen eigenen inoffiziellen Micropatch für die Schwachstelle veröffentlicht. Ihre Lösung verfolgte einen aggressiveren Ansatz: Jede LNK-Zielzeichenfolge über 260 Zeichen wird aktiv gekürzt und der Nutzer gewarnt – statt den vollständigen Text nur anzuzeigen.

Ist UI-Manipulation die neue Bedrohung?

Diese Entwicklung könnte einen Wandel signalisieren, wie Betriebssystem-Hersteller mit “UI-basierten” Schwachstellen umgehen. Obwohl es sich nicht um einen klassischen Buffer-Overflow oder Code-Execution-Bug handelt, wird die Manipulation von Benutzeroberflächen-Elementen zur Täuschung von Opfern zu einem kritischen Vektor für Social-Engineering-Angriffe.

Für IT-Administratoren und Sicherheitsteams heißt es jetzt: Alle Windows-Endpoints müssen mit den November-2025-Patches (oder neuer) aktualisiert sein. Darüber hinaus sollten Security-Awareness-Trainings aktualisiert werden. Denn obwohl der Eigenschaften-Dialog nun transparenter ist, bleibt das LNK-Dateiformat ein gefährlicher Angriffsvektor.

Werden Hacker nun einfach neue Verschleierungsmethoden finden? Vorerst ist jedenfalls eines ihrer Lieblingsmittel demontiert – auch wenn Microsoft neun Jahre dafür brauchte.

PS: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – dieser Leitfaden zeigt, wie mittelständische IT‑Teams mit einfachen, kosteneffizienten Maßnahmen ihre Abwehr deutlich verbessern können. Der kostenlose Leitfaden enthält praxisnahe Schutzmaßnahmen gegen Phishing, UI‑Manipulationen und Ransomware sowie einen Maßnahmenplan für Geschäftsführer. Holen Sie sich jetzt das kompakte E‑Book und schützen Sie Ihre Endpunkte. Kostenlosen Cyber‑Security‑Leitfaden anfordern