Manchmal hält sich eine Sicherheitslücke länger, als man erwarten würde. Genau das passiert gerade mit einer Schwachstelle in Windows, die bereits seit Jahren bekannt ist. Sie trägt die Kennung CVE-2025-9491 und betrifft die Verarbeitung von LNK-Dateien, also Verknüpfungen. Solche Dateien klickt man täglich, ohne groß darüber nachzudenken. Das Problem ist, dass Angreifer über manipulierte LNK-Dateien Schadcode unbemerkt ausführen können. Forscher von Trend Micros Zero Day Initiative hatten Microsoft bereits im September 2024 darüber informiert. Microsoft entschied jedoch bisher, keinen Patch bereitzustellen. Offiziell liegt das daran, dass die Angriffe eine aktive Handlung des Nutzers erfordern. Für Experten ist das kein ausreichender Grund, denn die Lücke wird seit Jahren aktiv ausgenutzt.
Wie die Angriffe ablaufen
Die Technik hinter dem Angriff ist simpel, aber effektiv. Angreifer verstecken Befehle in den Metadaten der LNK-Datei. Sobald die Datei geöffnet wird, werden diese Befehle unbemerkt ausgeführt. Häufig läuft der Code über PowerShell und startet eine Kette von Operationen, die schließlich Schadsoftware in das System bringt. Im September und Oktober 2025 beobachtete das Sicherheitsunternehmen Arctic Wolf neue Angriffswellen. Ziel war vor allem die diplomatische Szene in mehreren EU-Ländern, darunter Belgien und Ungarn. Die Angreifergruppe UNC6384, die mit dem chinesischen Akteur Mustang Panda in Verbindung gebracht wird, nutzte täuschend echte Phishing-Mails, um Empfänger zum Öffnen der LNK-Dateien zu bewegen. So konnte der Remote Access Trojaner PlugX installiert werden, der langfristigen Zugriff auf die Systeme erlaubt.
Microsofts Haltung
Dass Microsoft die Lücke bislang nicht geschlossen hat, sorgt für Diskussionen. Die Zero Day Initiative meldete die Schwachstelle mehrfach, doch Microsoft hielt an der Einschätzung fest, dass es sich nicht um einen Notfall-Patch handelt. Die Begründung ist, dass ein Angriff nur durch Benutzerinteraktion erfolgreich wird. Experten warnen jedoch, dass gut gemachte Phishing-Kampagnen schnell zu Klicks auf bösartige Dateien führen können, besonders in offiziellen oder vertrauten Kontexten wie diplomatischen E-Mails.
Wie man sich schützt
Da es keinen Patch gibt, liegt die Verantwortung bei Administratoren und Nutzern. LNK-Dateien aus unbekannten Quellen sollten konsequent blockiert werden. E-Mail-Systeme können so konfiguriert werden, dass sie diese Dateien prüfen oder isolieren. Überwachung und Logging von PowerShell-Aktivitäten helfen, verdächtige Abläufe zu erkennen. Application-Allowlisting kann verhindern, dass unautorisierte Programme gestartet werden. Auch Aufklärung ist entscheidend. Wer Nutzer informiert und sensibilisiert, reduziert das Risiko erheblich, dass auf gefährliche Dateien geklickt wird.
Ein Problem, das bleibt
CVE-2025-9491 zeigt, wie lange eine Lücke bestehen kann, wenn sie geschickt im Alltag versteckt ist. Selbst kleine Schwächen können große Auswirkungen haben, wenn sie systematisch genutzt werden. Bis Microsoft einen Patch liefert, bleibt Selbstschutz die einzige Möglichkeit. Organisationen müssen technische Barrieren errichten, Aktivitäten überwachen und Mitarbeitende schulen, um sich gegen Angriffe zu schützen. Die Angreifer schlafen nicht und werden bestehende Schwachstellen immer wieder ausnutzen.
© stock.adobe.com, Tada Images