Microsoft stopft Sicherheitslücke nach zehn Jahren Missbrauch

Für fast ein Jahrzehnt hatten sie freie Bahn: Mindestens elf staatlich finanzierte Hackergruppen nutzten eine kritische Windows-Schwachstelle, um Schadcode zu verstecken. Jetzt zog Microsoft die Notbremse – allerdings auf umstrittene Weise.

Sicherheitsforscher bestätigten heute, dass der Softwarekonzern eine hochgefährliche Lücke im Windows-Betriebssystem stillschweigend geschlossen hat. Die als CVE-2025-9491 geführte Schwachstelle ermöglichte es Angreifern, bösartige Befehle in Windows-Verknüpfungen (LNK-Dateien) zu tarnen – unsichtbar für Nutzer und Sicherheitssoftware.

Das Brisante: Microsoft dokumentierte die Behebung zunächst nicht in den offiziellen Update-Hinweisen. Erst Analysen unabhängiger Forscher brachten die heimliche Reparatur ans Licht. Ein Vorgehen, das Fragen zur Transparenz aufwirft.

Die technische Raffinesse der Attacke liegt in ihrer Einfachheit. Windows-Verknüpfungen enthalten ein „Ziel”-Feld, das auf eine Datei oder ein Programm verweist. Angreifer entdeckten eine Schwäche in der Darstellung: Das Betriebssystem zeigte in den Dateieigenschaften nur die ersten 260 Zeichen dieses Feldes an.

Viele Unternehmen sind für neue Windows-Umgehungstechniken wie die LNK-Leerraum-Attacke nicht ausreichend gewappnet. Aktuelle Berichte zeigen, dass Angreifer über Jahre ähnliche Tricks nutzten – 73% der deutschen Firmen sind laut Experten nur unzureichend vorbereitet. Unser kostenloses E‑Book erklärt, welche einfachen Maßnahmen Ihre IT-Abwehr sofort stärken, welche gesetzlichen Änderungen auf Sie zukommen und wie Sie Mitarbeiter vor Phishing und manipulierten Verknüpfungen schützen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Die Konsequenz? Hacker füllten den Anfang mit einem harmlosen, legitim wirkenden Pfad auf, gefolgt von Hunderten Leerzeichen. Erst danach kam der eigentliche Schadbefehl – etwa ein PowerShell-Skript zum Nachladen von Schadsoftware.

Öffnete ein Nutzer oder Administrator die Eigenschaften zur Sicherheitsprüfung, sah er nur den ungefährlichen Pfad und leeren Raum. Der gefährliche Code blieb buchstäblich außerhalb des sichtbaren Bereichs verborgen. Eine simple Designschwäche wurde zur perfekten Tarnung.

November-Update brachte heimliche Reparatur

Forscher von ACROS Security und 0patch stießen am 3. Dezember auf die Änderung. Nach Installation der November-2025-Sicherheitsupdates verhielt sich Windows plötzlich anders: Der Eigenschaften-Dialog zeigt nun die gesamte Zeichenkette im Ziel-Feld an – unabhängig von Länge oder eingefügten Leerzeichen.

Nutzer können jetzt scrollen und den vollständigen Befehl einsehen, inklusive angehängtem Schadcode. Die Leerraum-Verschleierung läuft damit ins Leere.

Warum die Geheimniskrämerei? Microsoft klassifizierte das Problem zunächst nicht als kritische Schwachstelle. Die Begründung: Es erfordere Nutzerinteraktion (Klick auf die Datei) und Windows warne bereits vor nicht vertrauenswürdigen Dateien. Doch die massive Ausnutzung in der Praxis erzwang offenbar ein Umdenken – die Lösung kam als unangemeldete „Abschwächung” statt als formeller Patch.

Beliebte Waffe der Spione: Elf APT-Gruppen aktiv

Was diese stille Reparatur so brisant macht: Die Lücke war seit mindestens 2017 im aktiven Einsatz. Analysen des Zero Day Initiative (ZDI) von Trend Micro belegen den Missbrauch durch hochprofessionelle Angreifer.

Zur illustren Liste der elf identifizierten Hackergruppen gehören:

• Evil Corp: Berüchtigte Cybercrime-Organisation mit Fokus auf Ransomware
• APT37 (Reaper) und APT43 (Kimsuky): Nordkoreanische Staatsgruppen für Spionage und Kryptowährungsdiebstahl
• Mustang Panda: China-nahe Gruppe mit Zielen in Regierungen und NGOs
• Bitter und SideWinder: Akteure mit Schwerpunkt auf südasiatischer Regional-Spionage

Die Angreifer verpackten die manipulierten Verknüpfungen typischerweise in ZIP-Archive, um E-Mail-Sicherheitsfilter zu umgehen. Nach dem Klick installierten die versteckten Befehle Hintertüren, stahlen Zugangsdaten oder ermöglichten die Ausbreitung im Netzwerk.

Kritik an mangelnder Transparenz

Der „stille Patch” sorgt in der Sicherheitsbranche für Diskussionen. Zwar neutralisiert die Änderung die Tarnmethode effektiv – doch fehlende CVE-Ankündigung bedeutete: Viele IT-Abteilungen wussten weder von der Schwachstelle noch von der Behebung.

„Selbst wenn bösartige Verknüpfungen mit weniger als 260 Zeichen konstruierbar sind, kann die Störung real beobachteter Angriffe einen großen Unterschied machen”, erklären die ACROS-Forscher in ihrem heutigen Bericht. Für veraltete Windows-Versionen (Windows 7, Server 2008 R2) stellen sie nun Mikropatches bereit.

Parallel sorgt CVE-2025-29864 für Aufmerksamkeit: Eine heute veröffentlichte Schwachstelle in der Kompressionssoftware ALZip ermöglicht das Umgehen des Windows SmartScreen-Filters. Ein weiterer Beleg für den Fokus der Angreifer auf Umgehung von Windows-Schutzmechanismen.

Was jetzt zu tun ist

IT-Verantwortliche sollten umgehend prüfen: Sind alle Windows-Systeme mit den Sicherheitsupdates ab November 2025 versorgt? Nicht aktualisierte Rechner bleiben anfällig für die mittlerweile breit bekannte Umgehungstechnik.

Die Zukunft? Mit dem geschlossenen Leerraum-Schlupfloch verlieren Angreifer ein jahrzehntelang zuverlässiges Werkzeug. Allerdings dürfte der Druck nun zu neuen Verschleierungsmethoden führen.

Strenge Richtlinien für E-Mail-Anhänge bleiben unerlässlich. LNK-Dateien aus externen Quellen verdienen höchstes Misstrauen – unabhängig davon, wie harmlos ihre Eigenschaften aussehen mögen.

PS: Sie verwalten Windows-Rechner und wollen sich vor neuen Tarnmethoden schützen? Dieses kostenlose Praxis‑E‑Book fasst aktuelle Bedrohungen (z. B. CVE-2025-9491, CVE-2025-29864), einfache Konfigurations‑Checks und Prioritäten für IT-Verantwortliche zusammen. In 10 Minuten erhalten Sie eine Checkliste, mit der Sie kritische Systeme priorisieren, Mikropatches einplanen und Mitarbeiter-Checks etablieren können. Der Leitfaden enthält zusätzlich kurze Vorlagen für Incident-Response-Maßnahmen und Empfehlungen zur Priorisierung von Sicherheitsupdates. Jetzt Cyber-Security-Guide gratis anfordern