Hacker nutzen alte Windows-Sicherheitslücke aus – Microsoft tut nichts

Experten des Sicherheits-Unternehmens Trend Micro haben eine als ZDI-CAN-25373 bezeichnete Sicherheitslücke in Windows entdeckt, die Angreifer seit mindestens 2017 ausnutzen. Über die Lücke können die Angreifer Schadcode auf den betroffenen Windows-Rechnern ausführen, sofern der Benutzer eine verseuchte Webseite besucht oder eine infizierte Datei öffnet.

Die Lücke steckt in der Vorgehensweise, wie Windows .lnk-Dateien (Verknüpfungsdateien) verarbeitet. Angreifer können Kommandozeilen-Befehle, die für Windows-Benutzer unsichtbar sind, über diese Lücke einschleusen. Sobald der Anwender die entsprechende Datei öffnet, werden diese versteckten Befehle ausgeführt. Laut Trend Micro nutzen mindestens elf Hackergruppen, die mit staatlichen Akteuren wie Nordkorea, Iran, Russland und China in Verbindung gebracht werden, diese Lücke aus. Ziele sind aber nicht Privatanwender, sondern Regierungseinrichtungen und Organisationen aus verschiedenen Teilen der Erde. Typischerweise stehen die Angegriffenen in Verbindung mit Themen wie Finanzen, Militär, Telekommunikation oder Energie, die ausspioniert werden sollen.

Die angegriffenen Einrichtungen befinden sich in Nordamerika, Europa, Asien, Südamerika und Australien. In Europa scheinen vor allem Einrichtungen aus Deutschland angegriffen zu werden. Die Sicherheitsforscher schreiben: Wir haben fast tausend Shell Link (.lnk)-Samples entdeckt, die ZDI-CAN-25373 ausnutzen; es ist jedoch wahrscheinlich, dass die Gesamtzahl der Ausnutzungsversuche viel höher ist. Daraufhin haben wir einen Proof-of-Concept-Exploit im Rahmen des Bug Bounty-Programms von Trend ZDI bei Microsoft eingereicht, das es jedoch ablehnte, diese Schwachstelle mit einem Sicherheitspatch zu beheben.