Windows Shortcut-Exploit seit 2017 von staatlichen Hackers als 0-Day genutzt

[English]Sicherheitsforscher der Trend Micro Zero Day Initiative (ZDI) weisen auf eine 0-Day-Schwachstelle ( ZDI-CAN-25373) in Windows hin, die wohl seit 2017 von 11 staatlich unterstützten Hackergruppen aus Nordkorea, Iran, Russland und China ausgenutzt wird. Microsoft hat die Schwachstelle in Verknüpfungsdateien im September 2024 als „nicht ausreichend“ kritisch bewertet und einen Patch abgelehnt.

Peter Girnus und Aliakbar Zahravi von der Trend Micro Zero Day Initiative (ZDI) weisen im Blog-Beitrag ZDI-CAN-25373: Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns auf den Sachverhalt hin. Sie schreiben, sowohl staatlich gesponserte als auch cyberkriminelle Gruppen eine Windows-.lnk-Datei-Schwachstelle (ZDI-CAN-25373), die die Ausführung versteckter Befehle ermöglicht, ausgiebig ausnutzen.

Laut Artikel hat die Trend Zero Day Initiative™ (ZDI) inzwischen fast 1.000 bösartige .lnk-Dateien identifiziert, die die Schwachstelle ZDI-CAN-25373 ausnutzen. Über die Schwachstelle ist es Angreifern über manipulierte Verknüpfungsdateien möglich, versteckte bösartige Befehle auf dem Computer eines Opfers auszuführen.

Angriffe mittels Shortcut-Schwachstelle, Quelle Trend Micro

Obige Karte zeigt Länder, aus denen 11 staatlich unterstützten Hackergruppen aus Nordkorea, Iran, Russland und China die Schwachstelle in Kampagnen, wohl seit 2017, für Angriffe ausgenutzt haben. Betroffen sind Organisationen aus den Bereichen Regierung, Finanzen, Telekommunikation, Militär und Energie in Nordamerika, Europa, Asien, Südamerika und Australien.

Die Angreifer nutzen versteckte Befehlszeilenargumente in .lnk-Dateien, um bösartige Nutzdaten auszuführen. Das erschwert die Erkennung von Angriffen. Durch die Ausnutzung von ZDI-CAN-25373 seien Unternehmen einem erheblichen Risiko von Datendiebstahl und Cyberspionage ausgesetzt, schreiben die Sicherheitsforscher.

Die Empfehlung von Trend Micro lautet, dass Unternehmen ihre Netzwerke sofort nach der Schwachstellen ZDI-CAN-25373 scannen und Sicherheitsvorkehrungen treffen sollten. Es sei auf verdächtige .lnk-Dateien achten und sicherstellen, dass umfassende Endpunkt- und Netzwerkschutzmaßnahmen vorhanden sind, um diese Bedrohung zu erkennen und zu bekämpfen.

Die Zero Day Initiative hat zum 18. März 2025 die Sicherheitswarnung ZDI-25-148: (0Day) Microsoft Windows LNK File UI Misrepresentation Remote Code Execution Vulnerability veröffentlicht und der Schwachstelle einen CVSS Score von 7.0 zugewiesen. Bisher ist diese Schwachstelle in Windows durch Microsoft nicht gepatcht – und es sind auch keine Pläne für einen Patch bekannt.

Technische Details zur Schwachstelle in Verknüpfungsdateien lassen sich im ZDI-Artikel nachlesen. In Anbetracht der aktuellen Situation besteht eine sinnvolle Abhilfestrategie  zum Entschärfen der Schwachstelle darin, die Interaktion von .lnk-Dateien mit Anwendungen unter Windows einzuschränken. Trend Micro schreibt zudem, dass Kunden vor möglichen Versuchen, die Sicherheitslücke auszunutzen, durch Regeln und Filter geschützt sind, die im Oktober 2024 und Januar 2025 veröffentlicht wurden.

Bleeping Computer hat hier eine Stellungnahme Microsofts zum Thema veröffentlicht. Man weist darauf hin, dass der Microsoft Defender ebenfalls über eine Erkennungsfunktionen verfügt, um diese Bedrohungsaktivität zu erkennen und zu blockieren. Und die Smart App Control biete eine zusätzliche Schutzebene, indem sie bösartige Dateien aus dem Internet blockiert.

Weiterhin empfiehlt Microsoft seinen Kunden, beim Herunterladen von Dateien aus unbekannten Quellen vorsichtig zu sein. Im Grunde müsste auch eine Warnung erscheinen, wenn eine potenziell schädliche Datei erkannt wird. Es heißt zudem, dass Microsoft in Erwägung zieht, dieses Problem in einem zukünftigen Feature-Release zu beheben.