Windows-Sicherheit: Microsoft blockiert Dateivorschau nach gefährlicher Sicherheitslücke

Microsoft hat mit den Oktober-Updates 2025 einen drastischen Schritt gewagt: Die automatische Dateivorschau im Windows Explorer zeigt keine aus dem Internet stammenden Dateien mehr an. Der Grund? Eine gefährliche Schwachstelle ermöglichte Angreifern, Zugangsdaten zu stehlen – ohne dass Nutzer die Datei überhaupt öffnen mussten.

Die Änderung betrifft alle Dateien mit dem “Mark of the Web”-Tag, einer Sicherheitsmarkierung für heruntergeladene Inhalte, E-Mail-Anhänge oder Online-Dokumente. Ziel ist es, die Weitergabe von NTLM-Authentifizierungshashes zu verhindern – ein Angriffspfad, der ganze Netzwerke kompromittieren kann. Für alle Nutzer, die die Sicherheitsupdates ab dem 14. Oktober 2025 installiert haben, ist die Schutzfunktion bereits aktiv.

Bedrohung ohne Klick: So funktionierte der Angriff

Die Schwachstelle war besonders heimtückisch. Cyberkriminelle präparierten Dokumente mit versteckten HTML-Tags wie <link> oder <src>, die auf externe Server verwiesen. Allein durch das Anklicken der Datei im Explorer – nicht das Öffnen! – startete Windows eine Verbindung zum Angreifer-Server.

Apropos Systemrettung — wenn Windows nach einem Angriff oder Update nicht mehr startet, hilft ein Boot‑Stick, Ihr System zu reparieren und Daten zu sichern. Ein kostenloser Schritt‑für‑Schritt‑Ratgeber zeigt, wie Sie einen bootfähigen Windows‑11‑USB‑Stick erstellen und im Notfall sicher starten. Jetzt Boot‑Stick‑Guide kostenlos anfordern

Dabei wurde der NTLM-Hash übertragen, eine kryptografische Darstellung des Nutzerpassworts. Mit dieser Beute können Hacker entweder das Originalpasswort durch Brute-Force-Attacken knacken oder sich direkt per “Pass-the-Hash”-Technik in anderen Diensten authentifizieren. Was macht diese Angriffsmethode so gefährlich? Sie erfordert keinerlei Nutzeraktion außer einem simplen Klick – keine Warnmeldungen, keine Sicherheitsabfragen.

Die neue Schutzmaßnahme im Detail

Seit den Oktober-Patches zeigt der Windows Explorer für markierte Dateien keine Vorschau mehr an. Stattdessen erscheint eine deutliche Warnung: “Die Datei, die Sie in der Vorschau anzeigen möchten, könnte Ihren Computer beschädigen. Wenn Sie der Datei und ihrer Quelle vertrauen, öffnen Sie sie, um den Inhalt anzuzeigen.”

Microsoft unterbindet damit, dass das Betriebssystem die Datei parst und ungewollte Netzwerkverbindungen aufbaut. Die Schutzfunktion ist standardmäßig aktiviert und greift auch bei Dateien aus Netzwerkfreigaben in der “Internetzone”. Die Botschaft ist klar: Verdächtige Quellen erhalten keine privilegierte Behandlung mehr.

Wiederholtes Flickwerk – diesmal radikal

Diese Sicherheitsverbesserung ist Microsofts jüngster Versuch, eine hartnäckige Schwachstelle endgültig zu schließen. Sicherheitsforscher gehen davon aus, dass die Maßnahme CVE-2025-59214 adressiert – eine Spoofing-Schwachstelle im Explorer, die sensible Informationen preisgab.

Pikant: Diese Lücke war bereits ein Bypass für den vorherigen Patch CVE-2025-50154, der wiederum eine frühere Zero-Click-NTLM-Schwachstelle (CVE-2025-24054) beheben sollte. Die ursprüngliche Schwachstelle wurde aktiv ausgenutzt, auch gegen Regierungsorganisationen und Unternehmen. Statt erneut nur Code zu flicken, ändert Microsoft diesmal das grundsätzliche Verhalten – ein radikaler, aber konsequenter Schritt.

Sicherheit vor Komfort

Microsofts Entscheidung spiegelt einen Branchentrend wider: Standardkonfigurationen werden gehärtet, selbst wenn das Komforteinbußen bedeutet. Die Vorschaufunktion war praktisch, schuf aber eine Angriffsfläche, die sich nicht nachhaltig absichern ließ.

Für IT-Sicherheitsverantwortliche ist die Änderung ein Gewinn. Credential Theft bleibt der Hauptangriffsvektor bei schweren Sicherheitsvorfällen – eine Zero-Click-Methode zu eliminieren, erschwert Angreifern die Arbeit erheblich. Nutzer, die stark auf die Vorschau angewiesen sind, müssen ihre Arbeitsweise anpassen. Doch was wiegt schwerer: eine Sekunde mehr Aufwand oder gestohlene Zugangsdaten?

Ausblick: Neue Gewohnheiten für Windows-Nutzer

Die Schutzfunktion ist gekommen, um zu bleiben. Wer eine Datei aus vertrauenswürdiger Quelle vorab ansehen möchte, kann die Sperre manuell aufheben:

1. Rechtsklick auf die Datei, Eigenschaften auswählen
2. Im Tab “Allgemein” das Häkchen bei Zulassen setzen
3. Mit “Übernehmen” und “OK” bestätigen (eventuell Neuanmeldung erforderlich)

Für Netzwerkfreigaben können Administratoren die Freigabe-Adresse in die Sicherheitszonen “Lokales Intranet” oder “Vertrauenswürdige Sites” eintragen – über die Internet-Optionen in der Systemsteuerung.

Diese Änderung unterstreicht eine wichtige Lektion: Selbst scheinbar harmlose Aktionen wie das Betrachten einer Dateivorschau können im modernen Bedrohungsumfeld erhebliche Sicherheitsrisiken bergen. Microsoft hat sich für den sicheren Weg entschieden – auch wenn das bedeutet, dass Nutzer künftig bewusster mit heruntergeladenen Dateien umgehen müssen.

PS: Wer sich gegen solche Angriffe wappnen will, sollte sein Windows-System kennen und sicher einrichten. Der kostenlose Gratis‑Report “Windows 11 Komplettpaket” erklärt Schritt für Schritt, wie Sie risikofrei auf Windows 11 wechseln, Daten und Programme übernehmen und typische Sicherheitsfallen vermeiden. Hier kostenlosen Windows‑11‑Report anfordern