Windows: Versteckte Cyberattacke seit Jahren aktiv

Eine jahrelang unentdeckte Cyberattacke-Methode namens „LNK Stomping“ untergräbt systematisch Windows-Sicherheitssysteme. Die Schwachstelle CVE-2024-38217 ermöglicht es Hackern, schädlichen Code über manipulierte Verknüpfungsdateien auszuführen und dabei zentrale Schutzfunktionen wie Smart App Control und SmartScreen zu umgehen.

Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle diese Woche in ihren Katalog aktiv genutzter Sicherheitslücken aufgenommen – ein klares Zeichen dafür, dass Angreifer die Methode bereits in realen Attacken einsetzen.

Sechs Jahre im Verborgenen

Besonders brisant: Sicherheitsforscher von Elastic Security Labs fanden Belege für LNK-Stomping-Angriffe in Malware-Proben, die bereits vor über sechs Jahren bei VirusTotal eingereicht wurden. Das bedeutet, Cyberkriminelle nutzten diese Schwachstelle lange vor ihrer öffentlichen Entdeckung systematisch aus.

Microsoft hat die Lücke erst im September 2024 mit einem Sicherheitsupdate geschlossen, nachdem Elastic Security Labs die Methode öffentlich gemacht hatte. Die jahrelange unbemerkte Ausnutzung zeigt eine kritische Schwäche in der Erkennung neuartiger Angriffsvektoren auf.

Täuschung durch Automatismus

Der Angriff nutzt eine Eigenheit von Windows Explorer beim Umgang mit Verknüpfungsdateien aus. Herzstück ist die Umgehung der „Mark of the Web“-Funktion (MoTW) – jenes Sicherheitsmerkmals, das heruntergeladene Dateien als potentiell gefährlich kennzeichnet und Schutzprogramme aktiviert.

Angreifer erstellen manipulierte LNK-Dateien mit fehlerhaften Zielpfaden – etwa durch Anhängen eines Punktes an „powershell.exe.“. Klickt ein Nutzer auf die Verknüpfung, „korrigiert“ Windows automatisch den Pfad und speichert die Datei neu. Kritischer Fehler: Dabei entfernt das System die MoTW-Kennzeichnung, bevor Sicherheitskontrollen greifen. Die Schadsoftware erscheint plötzlich als vertrauenswürdige lokale Datei.

Anzeige: Übrigens: Für den Ernstfall – etwa nach Malware- oder Systemproblemen – lohnt sich ein startfähiger USB‑Stick. Ein kostenloser Report erklärt Schritt für Schritt, wie Sie einen Windows‑11‑Boot‑Stick erstellen und ihn für Installation oder Reparatur einsetzen – ideal auch für Einsteiger. So sparen Sie Zeit und teuren Service. Windows‑11‑Boot‑Stick: Gratis‑Anleitung sichern

Neue Angriffswelle nach Office-Sperre

Die Popularität von LNK Stomping stieg massiv, nachdem Microsoft 2022 Makros in Office-Dokumenten standardmäßig blockierte. Cyberkriminelle suchten neue Einfallstore und entdeckten Dateiformate wie ISO, RAR und LNK als attraktive Alternative.

„Reputationsbasierte Schutzsysteme sind mächtige Werkzeuge gegen Standard-Malware“, erklärt Elastic Security Labs. „Aber wie jede Schutztechnik haben sie Schwachstellen, die sich mit etwas Aufwand umgehen lassen.“

Konsequenzen für Unternehmen

Die Schwachstelle entlarvt die Grenzen rein reputationsbasierter Sicherheitssysteme. Wenn sich kritische Metadaten durch normale Betriebssystemfunktionen entfernen lassen, entstehen gefährliche Sicherheitslücken.

Sicherheitsexperten empfehlen mehrstufige Verteidigungsstrategien, die nicht allein auf eingebaute Windows-Funktionen setzen. Zusätzlich zu den September-2024-Updates sollten Unternehmen verhaltensbasierte Erkennungsregeln implementieren – etwa zur Überwachung verdächtiger Aktivitäten, wenn der Explorer LNK-Dateien überschreibt.

Aufwachen der Sicherheitsbranche

Microsoft hat die Lücke durch eine Änderung der LNK-Dateispeicherung geschlossen – die MoTW-Kennzeichnung bleibt nun erhalten. Alle Organisationen und Privatnutzer sollten die Windows-Updates umgehend installieren.

Der Erfolg von LNK Stomping wird wahrscheinlich verstärkte Prüfungen anderer Dateiformate und Windows-Funktionen nach sich ziehen. Die sechsjährige unentdeckte Nutzung beweist: Angreifer durchforsten kontinuierlich Kernsystemprozesse nach logischen Fehlern. Sicherheitsanbieter müssen über einfache Dateiscans hinausgehen und anomale Systemverhalten erkennen lernen.