Microsoft schließt Sicherheitslücke in Windows-Verknüpfungen

Microsoft hat eine kritische Schwachstelle im Windows-Betriebssystem behoben, die seit Jahren von staatlich unterstützten Hackergruppen aktiv ausgenutzt wurde. Die Sicherheitslücke CVE-2025-9491 ermöglichte es Angreifern, schädlichen Code in Windows-Verknüpfungsdateien (.LNK) vor den Augen der Nutzer zu verstecken. Doch die Art der Lösung sorgt in der IT-Sicherheitsbranche für Kontroversen.

Mindestens elf staatlich gesteuerte Hackergruppen – aus China, Russland, Iran und Nordkorea – nutzten diese Technik seit 2017 für Spionageangriffe. Trotz der brisanten Bedrohungslage wählte Microsoft einen ungewöhnlichen Weg: Statt die Sicherheitslücke im Code zu schließen, veränderte der Konzern lediglich die Benutzeroberfläche. Kritiker bezweifeln, ob diese Maßnahme ausreicht.

Das Angriffsprinzip war perfide in seiner Schlichtheit: Die Eigenschaften-Anzeige von Windows-Verknüpfungen zeigte im “Ziel”-Feld nur die ersten 260 Zeichen an. Angreifer füllten diesen Bereich mit hunderten Leerzeichen, sodass der eigentliche Schadcode erst weit dahinter auftauchte.

Warum sind viele Unternehmen auf Cyberangriffe nicht ausreichend vorbereitet? Studien zeigen, dass ein großer Teil der Organisationen Lücken in Awareness, EDR-Konfiguration und E-Mail-Prüfprozessen hat – genau dort setzen LNK- und Anhänge-basierte Angriffe an. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt praxisorientiert, wie Sie EDR-Regeln anpassen, verdächtige Verknüpfungen automatisiert erkennen und Mitarbeiter gezielt schulen. Ideal für Geschäftsführer und IT-Verantwortliche, die schnell ihre Abwehr stärken wollen. Jetzt Cyber-Security-E‑Book herunterladen

Was bedeutete das in der Praxis? Selbst vorsichtige Nutzer, die verdächtige Dateien vor dem Öffnen überprüften, sahen nur ein leeres oder harmlos aussehendes Feld. Die dahinter verborgenen PowerShell-Befehle zum Nachladen von Schadsoftware blieben unsichtbar.

Besonders perfide: Die Technik funktionierte auch dann, wenn Nutzer genau das richtige Sicherheitsverhalten zeigten – nämlich die Dateieigenschaften zu kontrollieren, bevor sie auf einen Anhang klicken.

Diplomatische Ziele im Visier

Im Oktober 2025 eskalierte die Situation. Das Sicherheitsunternehmen Arctic Wolf Labs deckte eine Angriffswelle der chinesischen Hackergruppe UNC6384 (auch bekannt als “Mustang Panda”) auf. Die Ziele: Europäische Diplomaten in Ungarn, Belgien, Italien, den Niederlanden und Serbien.

Die Angreifer versendeten täuschend echt wirkende E-Mails, getarnt als Einladungen zu NATO-Workshops oder Treffen der Europäischen Kommission. In den Anhängen versteckten sich die manipulierten LNK-Dateien, die beim Öffnen die Schadsoftware PlugX nachladeten – ein Fernzugriffstrojaner, der den Hackern dauerhaften Zugang zu den Systemen verschaffte.

Die Forscher von Trend Micro hatten bereits im März 2025 Alarm geschlagen und nachgewiesen, dass elf verschiedene staatliche Hackergruppen diese Technik in ihrem Arsenal führten. Dennoch stufte Microsoft das Problem zunächst als “geringfügig” ein und verzichtete auf eine sofortige Lösung.

Microsofts umstrittene Reparatur

Das November-Update 2025 brachte schließlich die Änderung – allerdings eine, die viele Experten als unzureichend bewerten. Microsoft erweiterte lediglich die Anzeige im “Ziel”-Feld, sodass nun theoretisch der gesamte Befehl sichtbar wird.

Mitja Kolsek, Geschäftsführer von Acros Security, bringt das Problem auf den Punkt: „Die Wiederherstellung des Vertrauens in die Benutzeroberfläche ist definitiv ein Schritt in die richtige Richtung, aber keine vollständige Lösung.”

Der Haken: Der Schadcode wird nicht blockiert oder entfernt – er ist nur sichtbar, wenn Nutzer aktiv durch möglicherweise tausende Leerzeichen im winzigen Eingabefeld scrollen. Für durchschnittliche Anwender bleibt das Feld zunächst leer. Wer ahnt schon, dass sich am Ende einer endlosen Kette von Leerzeichen gefährlicher Code versteckt?

Alternative Lösungen zeigen mehr Biss

Als Reaktion auf Microsofts zaghafte Maßnahme veröffentlichte Acros Security einen eigenen “Mikropatch” für Nutzer ihrer 0patch-Plattform. Diese Lösung geht deutlich weiter: Sie kappt das Ziel-Feld konsequent nach 260 Zeichen oder warnt explizit, wenn eine Verknüpfung ungewöhnlich lange Befehlszeilen enthält.

Die Diskussion wirft eine grundsätzliche Frage auf: Warum wählte Microsoft den Mittelweg? Der Konzern wollte offenbar vermeiden, legitime Unternehmensanwendungen zu beeinträchtigen, die möglicherweise längere Befehlszeilen in Verknüpfungen verwenden. Das Ergebnis: Die Last der Erkennung liegt weiterhin teilweise beim Nutzer.

Hinzu kommt ein technisches Detail, das die Sache verschärft: Angreifer haben längst Methoden entwickelt, um Microsofts “Mark of the Web”-Schutz zu umgehen – etwa durch das Verpacken von LNK-Dateien in ISO-Images oder ZIP-Archive, die die Sicherheitskennung entfernen.

Was Unternehmen jetzt tun sollten

IT-Sicherheitsverantwortliche sollten sicherstellen, dass ihre Windows-Systeme mindestens mit den November-2025-Updates ausgestattet sind. Doch damit allein ist es nicht getan. Endpoint Detection and Response (EDR)-Systeme sollten so konfiguriert werden, dass sie Verknüpfungsdateien mit verdächtig langen Ziel-Feldern automatisch markieren – insbesondere solche, die PowerShell oder die Eingabeaufforderung mit umfangreichen Argumenten aufrufen.

Noch wichtiger wird die Sensibilisierung der Mitarbeiter. Sicherheitstrainings müssen künftig konkrete Anleitungen enthalten, wie Verknüpfungsdateien richtig zu prüfen sind. Die zentrale Botschaft: Ein leeres “Ziel”-Feld ist kein Freifahrtschein mehr.

Könnte Microsoft in Zukunft strengere Regeln einführen? Es ist durchaus möglich, dass künftige Windows-Versionen die Ausführung langer Befehlsketten direkt aus Verknüpfungen einschränken oder ganz verbieten. Bis dahin bleibt der Mensch die kritischste Verteidigungslinie – mit allen Schwächen, die das mit sich bringt.

Die jahrzehntealte LNK-Datei erweist sich damit als überraschend wirkungsvolles Werkzeug im modernen Cyberkrieg. Ein Beleg dafür, dass selbst antiquierte Dateiformate brandgefährlich bleiben können, wenn Angreifer kreativ genug sind.

PS: Sie wollen die Abwehr in Ihrem Unternehmen konkret verbessern? Der Gratis‑Leitfaden bietet kompakte, sofort umsetzbare Maßnahmen – von Checklisten zur EDR-Konfiguration über Awareness-Maßnahmen bis hin zu Praxisbeispielen für kleine IT-Teams. Perfekt für Entscheider und IT-Verantwortliche, die Schutzstufen ohne teure Neueinstellungen verbessern möchten. Gratis-Report für IT-Verantwortliche anfordern