Alles rund um Windows

Microsoft behebt stillschweigend 8 Jahre alte Windows-Sicherheitslücke

Microsoft hat stillschweigend eine kritische Windows-Sicherheitslücke geschlossen, die Hacker seit fast acht Jahren ausnutzen.

Die als CVE-2025-9491 erfasste Schwachstelle ermöglichte es Cyberkriminellen, bösartige Befehle vor Benutzern zu verbergen, die Dateien über die Standardschnittstelle von Windows überprüften – doch der Technologieriese hat die Behebung der Schwachstelle nie offiziell bekannt gegeben.

Seit acht Jahren lebten Windows-Benutzer unwissentlich mit einer Sicherheitslücke, die von internationalen Staaten genutzt wurde. Staatlich geförderte Hackergruppen aus China, Iran, Nordkorea und Russland nutzten diese Windows-Shortcut-Sicherheitslücke seit 2017 als Angriffsziel. Die Zero Day Initiative von Trend Micro entdeckte, dass 11 verschiedene staatlich geförderte Teams diese Sicherheitslücke aktiv ausnutzten und so eigentlich harmlose Shortcut-Dateien in gefährliche Angriffsvektoren verwandelten.

Die Schwachstelle betraf die Methode, mit der Windows .LNK-Dateien (Verknüpfungen) anzeigt, und ermöglichte es Angreifern, bösartige Verknüpfungen zu erstellen, die völlig sicher erschienen, wenn Benutzer ihre Eigenschaften überprüften. Sicherheitsforscher identifizierten fast 1.000 bösartige Verknüpfungsdateien, die diese Schwachstelle in Angriffskampagnen ausnutzen.

Die Reaktion von Microsoft auf diese Sicherheitslücke offenbart ein besorgniserregendes Muster im Umgang des Unternehmens mit Sicherheitsprioritäten. Als Forscher erstmals auf die Schwachstelle hinwiesen, behauptete Microsoft zunächst, dass sie „nicht die Kriterien für eine sofortige Behebung erfüllt” und plante, sie in einer zukünftigen Version statt durch Notfall-Updates zu beheben.

Die Schwachstelle ist denkbar einfach: Windows zeigt Benutzern nur den ersten Teil bösartiger Befehle an und verbirgt die gefährlichen Teile, die danach kommen. Das Sicherheitsunternehmen 0patch erklärte, dass .LNK-Dateien zwar extrem lange Zielargumente enthalten können, der Eigenschaften-Dialog jedoch nur die ersten 260 Zeichen anzeigt und alles andere vor den Benutzern verbirgt. Angreifer konnten bösartige PowerShell-Befehle über diese Zeichenbegrenzung hinaus einfügen, sodass ihre Verknüpfungen bei der Überprüfung legitim erschienen.

Zunehmende Hinweise auf eine weit verbreitete Nutzung zwangen Microsoft schließlich zum Handeln. Die Cyberspionagegruppe XDSpy nutzte die Schwachstelle, um Malware zu verbreiten, die auf osteuropäische Regierungsstellen abzielte, während chinesische Hacker sie erst letzten Monat einsetzten, um europäische diplomatische Vertretungen mit PlugX-Malware anzugreifen.

Diplomatische Geheimnisse gestohlen

Erst vor einem Monat haben Angriffe das verheerende Potenzial dieser Schwachstelle für Spionageoperationen aufgezeigt. Die chinesische Hackergruppe UNC6384 führte im September und Oktober eine ausgeklügelte Kampagne gegen europäische diplomatische Einrichtungen durch und nutzte dabei CVE-2025-9491, um den berüchtigten Fernzugriffstrojaner PlugX zu verbreiten.

Die Diplomaten dachten, sie würden Tagesordnungen für Besprechungen öffnen – stattdessen gaben sie Staatsgeheimnisse preis. Spearphishing-E-Mails, die sich auf legitime diplomatische Ereignisse wie Sitzungen der Europäischen Kommission oder NATO-Gipfeltreffen bezogen, enthielten bösartige .LNK-Dateien, die völlig harmlos erschienen, wenn die Opfer sie über die Windows-Oberfläche öffneten. Im Hintergrund wurden verschleierte PowerShell-Befehle automatisch ausgeführt, die drei Schlüsselkomponenten extrahierten: ein legitimes Canon-Drucker-Dienstprogramm, eine bösartige DLL und eine verschlüsselte PlugX-Nutzlast.

Arctic Wolf dokumentierte diese gezielten Angriffe auf europäische Diplomaten im September und Oktober. Die Kampagne verbreitete PlugX schließlich durch DLL-Side-Loading-Techniken, wobei die Malware durch Änderungen an der Registrierung einen dauerhaften Zugriff herstellte und über HTTPS mit Command-and-Control-Servern kommunizierte, wodurch eine kontinuierliche Informationsbeschaffung aus hochwertigen diplomatischen Netzwerken in Ungarn, Belgien, Serbien, Italien und den Niederlanden ermöglicht wurde.

Die Patch Tuesday-Updates von Microsoft vom November 2025 enthielten den Fix stillschweigend, obwohl die Sicherheitslücke nicht unter den 63 offiziell gepatchten Sicherheitsproblemen aufgeführt war. Die Lösung des Unternehmens zeigt nun den gesamten Target-Befehl mit Argumenten im Eigenschaften-Dialogfeld an, unabhängig von der Länge – eine einfache Korrektur, deren Umsetzung acht Jahre gedauert hat.

Unternehmen sollten umgehend Maßnahmen zum Schutz ihrer Systeme ergreifen und sicherstellen, dass diese auf dem neuesten Stand sind. Sicherheitsexperten empfehlen, bekannte Command-and-Control-Domänen zu blockieren, nach Canon-Drucker-Binärdateien an ungewöhnlichen Orten zu suchen und die automatische Auflösung von .LNK-Dateien für Benutzer, die auf sensible Daten zugreifen, zu deaktivieren.

Das FBI warnt davor, dass Betrüger in der Weihnachtszeit E-Mails, soziale Medien, gefälschte Webseiten, Lieferbenachrichtigungen und Anrufe nutzen, wobei neue Daten zeigen, dass die Verluste und Beschwerden zunehmen.