Microsoft stopft heimlich Windows-Sicherheitslücke nach acht Jahren

Nach fast acht Jahren aktiver Ausnutzung durch staatlich gesteuerte Hackergruppen hat Microsoft still und leise eine kritische Schwachstelle in Windows geschlossen. Die Lücke CVE-2025-9491 ermöglichte es Angreifern, Schadcode in Windows-Verknüpfungen zu verstecken – ein beliebtes Werkzeug von Cyberspionage-Einheiten aus China, Russland, Nordkorea und dem Iran.

Das Pikante: Der Konzern klassifizierte das Problem zunächst nicht als kritisch und veröffentlichte den Patch ohne großes Aufsehen. Erst Sicherheitsforscher von Acros Security deckten gestern auf, dass die November-Updates eine wesentliche Änderung enthielten, die eine jahrelang genutzte Angriffsmethode neutralisiert.

Die Enthüllung kam am gestrigen Mittwoch: Microsoft hatte unangekündigt verändert, wie Windows die Eigenschaften von Verknüpfungsdateien (.LNK) anzeigt. Das System zeigt nun die komplette Befehlszeile im “Ziel”-Feld an – unabhängig von deren Länge.

Bisher schnitt Windows die Anzeige nach 260 Zeichen ab. Hacker nutzten diese Designschwäche geschickt aus: Sie füllten den Anfang des Befehls mit tausenden Leerzeichen auf. Der eigentliche Schadcode – oft mehrere tausend Zeichen lang – rutschte dadurch aus dem sichtbaren Bereich. Für Nutzer und Administratoren sah die Datei beim manuellen Check völlig harmlos aus.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – gerade stille Schwachstellen wie die hier beschriebene LNK-Ausnutzung zeigen das Risiko. Dieses kostenlose E‑Book erläutert aktuelle Bedrohungen, neue gesetzliche Anforderungen und konkrete Schutzmaßnahmen für IT-Verantwortliche. Mit praktischen Checklisten, Priorisierungs-Tipps für Patches und Empfehlungen, wie Sie Ihr Netzwerk ohne große Investitionen stärken. Jetzt kostenloses Cyber-Security-E‑Book herunterladen

“Microsoft hat eine aktiv ausgenutzte LNK-Schwachstelle stillschweigend entschärft”, schrieb das Team von Acros Security in seiner gestern veröffentlichten Analyse. “Windows zeigt nun im Eigenschaften-Dialog kritische Informationen, die Schadcode offenlegen können.”

Als “still” gilt der Patch, weil Microsoft ihn zunächst nicht als Sicherheitsupdate hervorhob und erst auf Druck der Forschergemeinde einen CVE-Code vergab.

Lieblingswaffe von Staatsgeheimdiensten

Die Brisanz wird durch das Ausmaß des Missbrauchs deutlich. Offiziell bekannt wurde die Lücke im März 2025 durch Trend Micros Zero Day Initiative (ZDI), doch forensische Spuren weisen auf eine Ausnutzung seit mindestens 2017 hin.

Laut ZDI-Daten setzten mindestens elf staatlich gesteuerte Hackergruppen diese Technik ein, darunter:
* China (u.a. Mustang Panda)
* Russland (u.a. Evil Corp und APT28)
* Nordkorea (u.a. APT37 und Kimsuky)
* Iran

Die Angreifer nutzten die Schwachstelle, um Schadsoftware wie den PlugX-Fernzugriffstrojaner oder die Ursnif-Banking-Malware zu verbreiten. Indem sie die Verknüpfungen als legitime Dokumente tarnten – etwa als PDFs oder Bilder – und das Ausführungsskript hinter Leerzeichen versteckten, konnten sie selbst europäische Diplomaten und Regierungsbeamte täuschen.

Microsofts umstrittene Haltung

Der Weg zum Patch war konfliktreich. Als ZDI das Problem Anfang des Jahres meldete, lehnte Microsoft einen sofortigen Fix zunächst ab. Die Begründung: Die Schwachstelle erfülle nicht die Kriterien für “sofortigen Handlungsbedarf”, da eine erfolgreiche Ausnutzung Nutzerinteraktion erfordere – konkret das Anklicken der Verknüpfung.

Ein Microsoft-Sprecher bekräftigte diese Position gestern gegenüber BleepingComputer: “Als bewährte Sicherheitspraxis ermutigen wir Kunden, beim Herunterladen von Dateien aus unbekannten Quellen Vorsicht walten zu lassen, wie in Sicherheitswarnungen angegeben.”

Sicherheitsexperten widersprechen dieser Einschätzung vehement. Die von Microsoft angeführten “Mark of the Web”-Warnungen ließen sich häufig umgehen oder durch Social Engineering ausschalten. Dass der Konzern letztlich doch einen Fix implementierte – wenn auch unangekündigt – deutet darauf hin, dass selbst intern die “Nutzerinteraktions”-Verteidigung angesichts der massiven Ausnutzung als unzureichend erkannt wurde.

Reaktionen und offene Fragen

Die Cybersicherheitsbranche reagiert mit gemischten Gefühlen. Der Fix ist willkommen, doch Verzögerung und fehlende Transparenz sorgen für Kritik.

“Das Fenster der Sorglosigkeit hat sich nun geschlossen”, kommentierte The Register heute Morgen. Allerdings sehen manche Experten die aktuelle Lösung als unvollständig an. Zwar können Nutzer nun den kompletten Schadcode sehen – wenn sie durch das “Ziel”-Feld scrollen. Doch welcher normale Anwender führt bei jeder Verknüpfung eine solche forensische Prüfung durch?

0patch hat deshalb eine eigene “Micropatch”-Lösung veröffentlicht, die radikaler vorgeht: Sie begrenzt das Ziel-Feld strikt auf 260 Zeichen und bricht damit jede LNK-Datei, die den Leerzeichen-Trick nutzen will.

Was Nutzer jetzt tun sollten

Updates prüfen: Stellen Sie sicher, dass Ihre Windows-Systeme die November-2025-Updates installiert haben.

Vorsicht walten lassen: Behandeln Sie alle .LNK-Dateien aus E-Mails oder Downloads mit äußerster Skepsis – auch wenn sie harmlos erscheinen.

Erweiterte Absicherung: Organisationen sollten ergänzende Micropatching-Tools erwägen, wenn sie strengere Kontrollen als Microsofts UI-Update benötigen.

Stand heute Morgen hat Microsoft keine formelle Sicherheitsmeldung veröffentlicht, die diese Änderung explizit als Patch ausweist. Der Konzern hält an seiner Darstellung fest, es handle sich um eine Software-Verbesserung, nicht um einen kritischen Schwachstellen-Fix. Doch für Verteidiger, die Netzwerke gegen staatliche Akteure schützen, spricht das “stille” Update Bände.

PS: IT‑Sicherheit stärken ohne teure Neueinstellungen – dieses Gratis-E‑Book zeigt, welche Maßnahmen Sie sofort umsetzen können, um Endpoints, Netzwerkzugänge und Nutzerverhalten zu härten. Speziell für Geschäftsführer und IT-Leiter: Schritt-für-Schritt-Anleitungen, Schadensbegrenzung und eine Prioritätenliste für kritische Patches wie den LNK-Fall. Inklusive Checkliste zur schnellen Umsetzung im Mittelstand. Gratis E‑Book ‘Cyber Security Awareness Trends’ herunterladen