Sicherheitsforscher von Trend Micro haben eine Schwachstelle in Microsofts Windows-Betriebssystem offengelegt, die schon mindestens seit 2017 aktiv ausgenutzt wird und die es Angreifern ermöglicht, auf einem Zielsystem Schadcode auszuführen. In einem Blogbeitrag geben die Forscher an, entsprechende Angriffe unter anderem von elf staatlich unterstützten Hackergruppen beobachtet zu haben – aus Nordkorea, dem Iran, Russland und China.
Obwohl die Lücke schon im September 2024 an Microsoft gemeldet wurde, unternahm der Konzern bisher keine Anstrengungen, sie zu schließen. Aus diesem Grund gibt es auch noch keine CVD-ID. Trend Micro führt die Sicherheitslücke unter ZDI-CAN-25373. Den Angaben nach ist der Schweregrad mit einem CVSS-Wert von 7,0 als hoch eingestuft.
Die Schwachstelle basiert auf der Art und Weise, wie Windows LNK-Dateien verarbeitet. Angreifer können darin für Anwender unsichtbare Befehle einschleusen, die beim Öffnen der jeweiligen Datei zur Ausführung gebracht werden. Trend Micro warnt, dass entsprechende Angriffe schwer zu erkennen sind und die Lücke Unternehmen daher einem erheblichen Risiko für Cyberspionage und Datendiebstahl aussetzt.
Auch deutsche Ziele wurden attackiert
Wie die Forscher in ihrem Blogbeitrag erklären, haben sie rund 1.000 von Hackern eingesetzte LNK-Dateien entdeckt, die von ZDI-CAN-25373 Gebrauch machen. Die Anzahl der tatsächlichen Ausnutzungsversuche schätzt das Forscherteam weitaus höher ein. Teilweise konnten die Angriffe bis ins Jahr 2017 zurückverfolgt werden.
Attackiert wurden dem Bericht zufolge vor allem Regierungsbehörden und Organisationen aus den Bereichen Finanzen, Telekommunikation, Militär und Energie. Die Angriffsziele waren dabei auf verschiedene Regionen der Welt verteilt. Trend Micro benennt diesbezüglich Nordamerika, Europa, Asien, Südamerika und Australien. Eine Verteilungsgrafik der Forscher legt nahe, dass deutsche Ziele innerhalb Europas am häufigsten attackiert wurden.
Ob ein Patch kommt, bleibt ungewiss
Trend Micro meldete die Sicherheitslücke nach eigenen Angaben schon am 20. September 2024 an Microsoft. Der Konzern stufte das Problem allerdings als geringfügig ein und entschied sich, die Lücke vorerst nicht zu patchen. Dass in Zukunft noch ein Patch ausgeliefert wird, ist aber wohl nicht ausgeschlossen.
"Obwohl die in dem Bericht beschriebene UI-Erfahrung nach unseren Richtlinien zur Klassifizierung des Schweregrads nicht die Anforderungen für einen sofortigen Eingriff erfüllt, werden wir in Erwägung ziehen, dieses Problem in einem zukünftigen Feature-Release zu beheben", erklärte Microsoft in einer mit Bleeping Computer geteilten Stellungnahme.
Ohnehin sollten Anwender bei Dateien aus unbekannten Quellen Vorsicht walten lassen. In der Regel gibt Windows sogar entsprechende Warnungen aus, wenn Anwender versuchen, aus dem Internet heruntergeladene Dateien auszuführen, die potenziell Schadcode enthalten. Hacker finden aber nicht selten Wege, diese Warnhinweise ebenfalls zu unterdrücken.
