Windows-Sicherheitslücke: Elf Hackergruppen nutzten unsichtbaren Angriffspunkt

Eine kritische Schwachstelle in Windows-Verknüpfungsdateien (.LNK) erschüttert heute die IT-Sicherheitsbranche. Sicherheitsforscher enthüllen: Microsoft hat die Zero-Day-Lücke – katalogisiert als CVE-2025-9491 – stillschweigend in den November-Updates geschlossen, nachdem mindestens elf staatlich gestützte Hackergruppen sie monatelang ungehindert ausnutzten. Die Schwachstelle ermöglicht es Angreifern, bösartigen Code in Verknüpfungsdateien zu verstecken, indem sie die Windows-Benutzeroberfläche manipulieren. Besonders brisant: Die Attacken richteten sich gezielt gegen diplomatische Einrichtungen in Europa.

Der unsichtbare Befehlstrick

Das Herzstück von CVE-2025-9491 liegt in der Art, wie Windows die Eigenschaften von Verknüpfungsdateien anzeigt. Laut technischen Details von ACROS Security und dem Zero Day Initiative (ZDI) von Trend Micro können Angreifer das „Ziel”-Feld einer .LNK-Datei mit massiven Leerzeichen „auffüllen”.

Der Windows-Eigenschaften-Dialog zeigt traditionell nur die ersten 260 Zeichen des Zielfeldes an. Gefährliche Befehle – oft PowerShell- oder Batch-Kommandos – die nach diesem Leerzeichenpuffer platziert werden, bleiben für Nutzer völlig unsichtbar. Ein ahnungsloser Anwender sieht beim Überprüfen der Datei nur einen leeren oder harmlosen Pfad. Er ahnt nicht, dass ein zerstörerisches Skript darauf wartet, beim Doppelklick ausgeführt zu werden.

Passend zum Thema Cyberangriffe und APT‑Methoden: Viele Unternehmen unterschätzen, wie schnell UI‑Manipulationen und Social‑Engineering schwere Folgen haben können. Ein kostenloses E‑Book für Geschäftsführer und IT-Verantwortliche fasst aktuelle Bedrohungen zusammen, zeigt praxisnahe Schutzmaßnahmen für kleine IT‑Teams, Prioritäten für Patch‑Management und welche Kontrollen EDR‑Lösungen effektiv machen. Ideal, um Angriffsflächen sofort zu reduzieren. Jetzt Cyber‑Security‑E‑Book für Unternehmen kostenlos anfordern

„Ein klassischer Fall von UI-Spoofing, der für hochriskante Spionage waffenfähig gemacht wurde”, erklärt ein Forscher von ACROS Security. Die Firma kritisiert: Während Microsofts Update das Verhalten ändert und nun die vollständige Zeichenkette anzeigt, ließ die „stille” Art der Behebung viele Administratoren wochenlang im Unklaren über die Gefahr.

Globale Spionagekampagne aufgedeckt

Das Ausmaß der Ausnutzung ist erschreckend. Erkenntnisse von Arctic Wolf Labs und Trend Micro zeigen: Die Schwachstelle ist seit mindestens 2017 ein beliebtes Werkzeug für Advanced Persistent Threat (APT)-Gruppen. Die Aktivitäten erreichten 2025 einen dramatischen Höhepunkt.

Identifizierte Akteure umfassen:
* UNC6384: Eine chinesisch-affiliierte Gruppe, die diplomatische Organisationen in Ungarn und Belgien ins Visier nahm.
* Mustang Panda: Diese Cyber-Spionagegruppe setzte die LNK-Lücke ein, um den PlugX-Fernzugriffstrojaner zu verbreiten.
* APT37 (Reaper) & Kimsuky: Nordkoreanische Staatsakteure, die die Technik nutzten, um hochwertige Netzwerke zu infiltrieren.
* Evil Corp: Ein finanziell motiviertes Cybercrime-Syndikat, das die Taktik ebenfalls übernahm.

In einer dokumentierten Angriffskette tarnten Hacker bösartige LNK-Dateien als harmlose PDFs oder Bilder in ZIP-Archiven. Da E-Mail-Gateways reine .LNK-Dateien oft blockieren, ermöglichten Archive und Social Engineering das Umgehen erster Sicherheitsbarrieren. Nach dem Klick führte die Verknüpfung den versteckten Befehl aus, etablierte Persistenz auf dem Opfer-Rechner und öffnete gleichzeitig ein Täuschungsdokument, um keinen Verdacht zu erregen.

Microsofts umstrittene Stillschweige-Strategie

Ein zentraler Streitpunkt in der Security-Community ist Microsofts Umgang mit der Offenlegung. Berichte bestätigen: Der Konzern lehnte zunächst die Vergabe einer CVE-Nummer oder eines Patches ab, als das Problem früher im Jahr vertraulich gemeldet wurde. Microsofts Argument: Es sei „Nutzerinteraktion” (das Anklicken der Datei) erforderlich und Windows warne bereits vor aus dem Internet heruntergeladenen Dateien.

Als jedoch Beweise für weitverbreitete Angriffe – besonders gegen NATO-nahe Ziele – zunahmen, vollzog Microsoft eine Kehrtwende. Im November-2025-Patchday integrierte das Unternehmen stillschweigend eine Änderung, die den Windows-Eigenschaften-Dialog zwingt, die gesamte Zielzeichenkette anzuzeigen. Der „Leerzeichenversteck”-Trick funktioniert damit nicht mehr.

Kritiker monieren: Indem Microsoft keine CVE vergab und die Behebung nicht in den offiziellen Release Notes aufführte, ließ der Konzern Verteidiger im Dunkeln tappen. „Das stille Patchen einer Schwachstelle, die aktiv von Nationalstaaten genutzt wird, beraubt Organisationen der Informationen, die sie zur Priorisierung von Updates brauchen”, kritisiert ein Analyst des Zero Day Initiative.

Auswirkungen und Gegenmaßnahmen

Die Enthüllung von CVE-2025-9491 unterstreicht einen wachsenden Trend: Angreifer nutzen „Features” und UI-Beschränkungen statt traditioneller Speicherfehler. Das „Mark of the Web” (MotW)-Sicherheitsfeature, das aus dem Internet stammende Dateien kennzeichnen soll, war in diesen Kampagnen ebenfalls häufiges Umgehungsziel.

Aktuelle Lage für Verteidiger:
* Offizieller Fix: Systeme mit vollständigen November-2025-Windows-Updates zeigen nun das vollständige Zielfeld in LNK-Eigenschaften an – das erleichtert die Erkennung.
* Drittanbieter-Patches: Für Legacy-Systeme bietet ACROS Security über die 0patch-Plattform einen „Micropatch”, der verdächtige LNK-Ziele kürzt oder meldet.
* Detektion: Sicherheitsteams sollten Netzwerke nach LNK-Dateien mit ungewöhnlich großen Dateigrößen oder exzessiven Leerzeichen in Befehlsargumenten durchsuchen.

Für aktualisierte Systeme schließt sich das Einfallstor dieser speziellen UI-Schwäche. Doch die schiere Anzahl beteiligter Gruppen zeigt: LNK-Dateien bleiben ein potenter Angriffsvektor. Sicherheitsexperten erwarten, dass APT-Gruppen in den kommenden Monaten auf neue Verschleierungsmethoden umschwenken oder andere Dateiformate wie OneNote oder PDF für ihre Angriffe nutzen werden.

Organisationen sollten überprüfen, ob ihre Endpoint Detection and Response (EDR)-Tools so konfiguriert sind, dass sie die Ausführung von LNK-Dateien unabhängig von deren Windows-Darstellung gründlich prüfen. Denn eines ist klar: Die nächste unsichtbare Bedrohung lauert bereits.

PS: Übrigens: Wer seine Abwehr jetzt schnell stärken möchte, findet im kostenlosen E‑Book praxisnahe Checklisten für EDR‑Konfiguration, Patch‑Priorisierung und Incident‑Response. Der Leitfaden fasst aktuelle Angriffsmuster wie UI‑Manipulationen, APT‑Techniken und Social‑Engineering zusammen und liefert sofort anwendbare Maßnahmen für kleine bis mittlere IT‑Teams. Gratis‑E‑Book: Cyber‑Security‑Trends jetzt herunterladen