1. Futurezone
  2. Digital Life

  3. Windows-Gefahr: Scheinbar harmlose Datei kann deinen PC komplett übernehmen

Veröffentlicht inDigital Life

Windows-Gefahr: Scheinbar harmlose Datei kann deinen PC komplett übernehmen

Philipp Rall von Philipp Rall

Windows steht immer wieder vor neuen Sicherheitsherausforderungen. Besonders kritisch wird es jedoch, wenn Cyberangriffe komplett unter dem Radar verlaufen können.

Trauriger Smiley auf einem blauen Laptop-Display
© Valeriia - stock.adobe.com [M]

Windows-Insider-Programm: So kannst du es testen

Wer eine gültige Windows-Lizenz hat, kann unter anderem auch Vorabversionen des Betriebssystems testen.Nun stellst sich aber die Frage, wie das möglich ist, in das sogenannte Windows-Insider-Programm zu kommen. Ob das bei dir funktioniert, kannst du folgendermaßen herausfinden ...

Eine gefährliche Sicherheitslücke in Windows, bekannt als ZDI-CAN-25373, erlaubt es Angreifenden, versteckte Befehle in sogenannten Verknüpfungsdateien (.lnk) unterzubringen. Öffnest du so eine Datei, wird der schädliche Befehl im Hintergrund ausgeführt, ohne dass du etwas davon merkst. So können Cyberkriminelle und staatlich unterstützte Hacker*innen dein System unbemerkt angreifen. Das Problem liegt darin, dass dir das Betriebssystem die Inhalte der Datei nicht richtig anzeigt – die gefährlichen Befehle bleiben unsichtbar.

Windows: Angriffe bleiben unbemerkt

Die Sicherheitsforschenden von Trend Micro’s Zero Day Initiative (ZDI) haben fast 1.000 dieser bösartigen .lnk-Dateien gefunden. Besonders aktiv sind Gruppen aus Nordkorea, Iran, Russland und China. Sie nutzen diese Schwachstelle gezielt, um sich Zugang zu Daten in Behörden, beim Militär, in der Energiewirtschaft oder im Finanzwesen zu verschaffen. Betroffen sind Nutzende weltweit – vor allem in Nordamerika, Europa, Asien, Südamerika und Australien.

Die Angriffe funktionieren Trend Micro zufolge so: In den Verknüpfungen verstecken die Angreifenden Befehle hinter Leerzeichen und Tabulatoren. Windows zeigt dir diese Befehle nicht an, obwohl sie beim Öffnen der Datei ausgeführt werden. So bekommst du keinen Hinweis darauf, dass du gerade Schadsoftware startest.

Gruppen aus Nordkorea verwenden extrem große .lnk-Dateien, die mit Datenmüll vollgestopft sind, um besser unentdeckt zu bleiben. Manche dieser Dateien sind bis zu 70 Megabyte groß. Ihr Ziel ist es meist, geheime Informationen zu stehlen. Dabei kombinieren sie die Schwachstelle mit anderer Schadsoftware, um noch effektiver Daten abzugreifen.

Auch interessant: Windows 11-Update: Microsoft führt schärfere Regeln ein

So schützt du dich richtig

Microsoft sieht die Schwachstelle als wenig kritisch an und plant deshalb kein schnelles Sicherheitsupdate. Für dich bedeutet das: Du bist auf dich gestellt. Trend Micro hat allerdings Schutzmechanismen entwickelt, die verdächtige .lnk-Dateien erkennen. Wenn du solche Dateien überprüfen willst, brauchst du allerdings spezielle Tools.

Trend Micro schützt dich mit speziellen Regeln und Filtern vor Angriffen, die ZDI-CAN-25373 ausnutzen. Diese Schutzmechanismen sind in verschiedenen Produkten integriert, darunter Trend Vision One – Network Security und Endpoint Security, Deep Security sowie Deep Discovery Inspector. Dort sorgen sie dafür, dass verdächtige Verknüpfungen erkannt und blockiert werden, bevor sie Schaden anrichten können. Konkret gibt es Filter wie „5351“ und „1012182“, die schädliche .lnk-Dateien über HTTP erkennen, und „1012183“ für Angriffe über SMB.

Zusätzlich bietet Trend Micro dir Threat Insights, also aktuelle Informationen zu Bedrohungen, und YARA-Regeln, mit denen du gezielt nach .lnk-Dateien suchen kannst, die diese Schwachstelle ausnutzen. Damit kannst du dein System proaktiv überwachen und verdächtige Dateien aufspüren, bevor sie aktiv werden. Die Kombination aus Filterregeln, Bedrohungsanalysen und Suchfunktionen gibt dir eine starke Verteidigung gegen diese Art von Angriff.

Auch interessant: Windows-Update: Diesen Patch darfst du auf keinen Fall installieren

Auch ohne Tools absichern

Das Problem gehört zur Kategorie der „Benutzeroberfläche (UI) Falsche Darstellung kritischer Informationen (CWE-451)“. Heißt konkret: Windows zeigt dir nicht, was wirklich passiert. Die Angreifenden nutzen das schamlos aus. Sie ändern das Symbol der Verknüpfung, geben ihr einen Namen wie „Rechnung.pdf.lnk“ und hoffen, dass du sie öffnest – denn Windows blendet die Dateiendung einfach aus.

Trend Micro empfiehlt dir, deine Systeme regelmäßig auf verdächtige Verknüpfungen zu prüfen. Achte darauf, ob Programme wie cmd.exe oder powershell.exe plötzlich über eine Verknüpfung gestartet werden. Wenn du einen Verdacht hast, solltest du betroffene Systeme sofort vom Netz nehmen. Die Plattform Trend Vision One hilft dir dabei, solche Bedrohungen schnell zu erkennen und zu stoppen.

Die Angreifenden setzen unterschiedliche Schadsoftware ein. Manche greifen auf fertige Dienste zurück, andere entwickeln eigene Programme. Der gefährliche Code kommt immer über die versteckten Befehle in den Verknüpfungen auf dein Gerät. So bleibt der Angriff oft lange unbemerkt – und richtet in der Zeit großen Schaden an.

Quelle: Trend Micro

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.