
Microsoft hat stillschweigend eine teilweise Abhilfe für die hochgradige Windows-LNK-Schwachstelle CVE-2025-9491 eingeführt, die mehrere staatlich geförderte Gruppen und Cyberkriminalitätsbanden als Zero-Day-Angriff ausgenutzt haben. Diese Sicherheitslücke ermöglicht es Angreifern, bösartige Befehle in Standard-Windows-Verknüpfungsdateien zu verbergen.
Das Kernproblem ergibt sich aus der Art und Weise, wie Windows mit diesen Verknüpfungsdateien umgeht. Wenn Sie jemals die Eigenschaften einer Verknüpfung überprüft haben, wissen Sie, dass es ein Feld namens „Ziel“ gibt, das den Befehl anzeigt, den die Verknüpfung ausführt. In der Vergangenheit wurden auf der Windows-Benutzeroberfläche nur die ersten 260 Zeichen dieses Zielfelds angezeigt.
Angreifer fanden heraus, dass sie programmgesteuert LNK-Dateien mit extrem langen Befehlszeichenfolgen, manchmal Zehntausenden von Zeichen, erstellen und dann den Anfang dieser Zeichenfolge mit Leerzeichen auffüllen konnten. Dieser Trick verdrängte den eigentlichen Schadcode, der Tools wie RATs (Remote Access Trojans) und Loader bereitstellte, vollständig aus der Sicht des Benutzers.
Da der Benutzer nur ein Feld voller harmloser Leerzeichen sah, hatte er keine Ahnung, was ausgeführt werden würde, als er auf die Datei doppelklickte. Leider handelte es sich hierbei nicht um eine theoretische Bedrohung. Analysten von Trend Micro entdeckten bereits im März, dass diese Schwachstelle in großem Umfang ausgenutzt wurde, wobei die Kampagnen bis ins Jahr 2017 zurückreichen.
Die Forscher fanden fast tausend schädliche Verknüpfungen in freier Wildbahn. Bekannte Bedrohungsakteure wie Evil Corp, APT37, Bitter und der vom chinesischen Staat unterstützte Mustang Panda nutzten diesen Trick, um Malware, darunter Ursnif, Gh0st RAT und Trickbot, einzusetzen. Arctic Wolf Labs wies ausdrücklich darauf hin, dass Mustang Panda die Schwachstelle bei Zero-Day-Angriffen auf europäische Diplomaten in Ländern wie Ungarn und Belgien ausgenutzt und die PlugX-RAT auf kompromittierte Systeme übertragen habe.
Die Angriffe beruhten darauf, dass die Opfer die schädliche LNK-Datei öffneten. Bedrohungsakteure verteilen diese Dateien normalerweise in ZIP- oder anderen Archiven, da E-Mail-Anbieter klug genug sind, raw.lnk-Anhänge aufgrund ihrer riskanten Natur zu blockieren.
Mitja Kolsek, CEO von ACROS Security und Mitbegründer von 0patch, bemerkte, dass Microsoft stillschweigend das Verhalten des Eigenschaftendialogs geändert hatte. Wenn Sie nun die Eigenschaften einer LNK-Datei öffnen, werden im Feld „Ziel“ alle Zeichen angezeigt, unabhängig von der Länge der Zeichenfolge.
Die Wiederherstellung des Vertrauens in die Benutzeroberfläche ist zwar definitiv ein Schritt in die richtige Richtung, aber keine vollständige Lösung. Das Update löscht nicht die schädlichen Argumente, die bereits in vorhandenen LNK-Dateien vorhanden sind. Außerdem erhält der Benutzer keine Warnung, dass die Zielzeichenfolge ungewöhnlich lang ist.
Wenn ein Bedrohungsakteur eine Befehlszeichenfolge erstellt, die Tausende von Zeichen lang ist, werden sich nur die sicherheitsbewusstesten Benutzer die Mühe machen, durch dieses winzige Feld zu scrollen, um den versteckten Code zu finden. Für den Durchschnittsbürger bietet diese Änderung keinen wirklich großen praktischen Schutz vor Social Engineering.
Aufgrund der Einschränkungen des stillen Fixes von Microsoft hat ACROS Security beschlossen, einen eigenen inoffiziellen Patch über die Mikropatch-Plattform 0patch zu veröffentlichen. Anstatt nur die vollständige Zeichenfolge anzuzeigen, beschränkt die 0patch-Lösung alle Verknüpfungszielzeichenfolgen auf 260 Zeichen. Wenn eine Verknüpfungsdatei diese Länge überschreitet, kürzt der Patch den Befehl und macht den Benutzer auf die potenzielle Gefahr aufmerksam.
Letztlich gebührt Microsoft Anerkennung dafür, dass es stillschweigend die falsche Darstellung der Benutzeroberfläche behoben hat, die diesen Zero-Day so effektiv gemacht hat. Die Tatsache, dass ein inoffizieller Drittanbieter-Patch erstellt werden musste, um die eigentlichen Angriffsvektoren aggressiv zu blockieren, zeigt jedoch, dass es noch viel zu tun gibt, um diese Art kritischer Sicherheitskorrekturen wirklich für die breite Masse wirksam zu machen.
Quelle: Bleeping Computer
*️⃣ Quelllink:
herausgefunden, Analysten von Trend Micro, aufgefallen , eigener inoffizieller Patch , Bleeping Computer ,