{"id":309621,"date":"2025-03-20T15:34:55","date_gmt":"2025-03-20T14:34:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=309621"},"modified":"2025-03-21T00:15:20","modified_gmt":"2025-03-20T23:15:20","slug":"windows-shortcut-exploit-seit-2017-von-staatlichen-hackers-als-0-day-genutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/03\/20\/windows-shortcut-exploit-seit-2017-von-staatlichen-hackers-als-0-day-genutzt\/","title":{"rendered":"Windows Shortcut-Exploit seit 2017 von staatlichen Hackers als 0-Day genutzt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/03\/21\/windows-shortcut-exploit-used-by-state-hackers-as-a-0-day-since-2017\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher der Trend Micro Zero Day Initiative (ZDI) weisen auf eine 0-Day-Schwachstelle ( ZDI-CAN-25373) in Windows hin, die wohl seit 2017 von 11 staatlich unterst\u00fctzten Hackergruppen aus Nordkorea, Iran, Russland und China ausgenutzt wird. Microsoft hat die Schwachstelle in Verkn\u00fcpfungsdateien im September 2024 als \"nicht ausreichend\" kritisch bewertet und einen Patch abgelehnt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/b0fb0d7ddd2c4d029e40b10331c5cd60\" alt=\"\" width=\"1\" height=\"1\" \/>Peter Girnus und Aliakbar Zahravi von der Trend Micro Zero Day Initiative (ZDI) weisen im Blog-Beitrag\u00a0<a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/c\/windows-shortcut-zero-day-exploit.html\" target=\"_blank\" rel=\"noopener\">ZDI-CAN-25373: Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns<\/a> auf den Sachverhalt hin. Sie schreiben, sowohl staatlich gesponserte als auch cyberkriminelle Gruppen eine Windows-.lnk-Datei-Schwachstelle (ZDI-CAN-25373), die die Ausf\u00fchrung versteckter Befehle erm\u00f6glicht, ausgiebig ausnutzen.<\/p>\n<p>Laut Artikel hat die Trend Zero Day Initiative\u2122 (ZDI) inzwischen fast 1.000 b\u00f6sartige .lnk-Dateien identifiziert, die die Schwachstelle ZDI-CAN-25373 ausnutzen. \u00dcber die Schwachstelle ist es Angreifern \u00fcber manipulierte Verkn\u00fcpfungsdateien m\u00f6glich, versteckte b\u00f6sartige Befehle auf dem Computer eines Opfers auszuf\u00fchren.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"Angriffe mittels Shortcut-Schwachstelle\" src=\"https:\/\/www.trendmicro.com\/content\/dam\/trendmicro\/global\/en\/research\/25\/c\/zdi-can-25373-windows-shortcut-exploit-abused-as-zero-day-in-widespread-apt-campaigns\/ZDI-CAN-25373-Fig02.png\" alt=\"Angriffe mittels Shortcut-Schwachstelle\" width=\"640\" height=\"448\" \/><br \/>\nAngriffe mittels Shortcut-Schwachstelle, Quelle Trend Micro<\/p>\n<p>Obige Karte zeigt L\u00e4nder, aus denen 11 staatlich unterst\u00fctzten Hackergruppen aus Nordkorea, Iran, Russland und China die Schwachstelle in Kampagnen,\u00a0wohl seit 2017, f\u00fcr Angriffe ausgenutzt haben. Betroffen sind Organisationen aus den Bereichen Regierung, Finanzen, Telekommunikation, Milit\u00e4r und Energie in Nordamerika, Europa, Asien, S\u00fcdamerika und Australien.<\/p>\n<p>Die Angreifer nutzen versteckte Befehlszeilenargumente in .lnk-Dateien, um b\u00f6sartige Nutzdaten auszuf\u00fchren. Das erschwert die Erkennung von Angriffen. Durch die Ausnutzung von ZDI-CAN-25373 seien Unternehmen einem erheblichen Risiko von Datendiebstahl und Cyberspionage ausgesetzt, schreiben die Sicherheitsforscher.<\/p>\n<p>Die Empfehlung von Trend Micro lautet, dass Unternehmen ihre Netzwerke sofort nach der Schwachstellen ZDI-CAN-25373 scannen und Sicherheitsvorkehrungen treffen sollten. Es sei auf verd\u00e4chtige .lnk-Dateien achten und sicherstellen, dass umfassende Endpunkt- und Netzwerkschutzma\u00dfnahmen vorhanden sind, um diese Bedrohung zu erkennen und zu bek\u00e4mpfen.<\/p>\n<p>Die Zero Day Initiative hat zum 18. M\u00e4rz 2025 die Sicherheitswarnung\u00a0<a href=\"https:\/\/www.zerodayinitiative.com\/advisories\/ZDI-25-148\/\" target=\"_blank\" rel=\"noopener\">ZDI-25-148: (0Day) Microsoft Windows LNK File UI Misrepresentation Remote Code Execution Vulnerability<\/a> ver\u00f6ffentlicht und der Schwachstelle einen CVSS Score von 7.0 zugewiesen. Bisher ist diese Schwachstelle in Windows durch Microsoft nicht gepatcht &#8211; und es sind auch keine Pl\u00e4ne f\u00fcr einen Patch bekannt.<\/p>\n<p>Technische Details zur Schwachstelle in Verkn\u00fcpfungsdateien lassen sich im <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/c\/windows-shortcut-zero-day-exploit.html\" target=\"_blank\" rel=\"noopener\">ZDI-Artikel<\/a> nachlesen. In Anbetracht der aktuellen Situation besteht eine sinnvolle Abhilfestrategie\u00a0 zum Entsch\u00e4rfen der Schwachstelle darin, die Interaktion von .lnk-Dateien mit Anwendungen unter Windows einzuschr\u00e4nken. Trend Micro schreibt zudem, dass Kunden vor m\u00f6glichen Versuchen, die Sicherheitsl\u00fccke auszunutzen, durch Regeln und Filter gesch\u00fctzt sind, die im Oktober 2024 und Januar 2025 ver\u00f6ffentlicht wurden.<\/p>\n<p>Bleeping Computer hat <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-windows-zero-day-exploited-by-11-state-hacking-groups-since-2017\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> eine Stellungnahme Microsofts zum Thema ver\u00f6ffentlicht. Man weist darauf hin, dass der\u00a0Microsoft Defender ebenfalls \u00fcber eine Erkennungsfunktionen verf\u00fcgt, um diese Bedrohungsaktivit\u00e4t zu erkennen und zu blockieren. Und die Smart App Control biete eine zus\u00e4tzliche Schutzebene, indem sie b\u00f6sartige Dateien aus dem Internet blockiert.<\/p>\n<p>Weiterhin empfiehlt Microsoft seinen Kunden, beim Herunterladen von Dateien aus unbekannten Quellen vorsichtig zu sein. Im Grunde m\u00fcsste auch eine Warnung erscheinen, wenn eine potenziell sch\u00e4dliche Datei erkannt wird. Es hei\u00dft zudem, dass Microsoft in Erw\u00e4gung zieht, dieses Problem in einem zuk\u00fcnftigen Feature-Release zu beheben.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher der Trend Micro Zero Day Initiative (ZDI) weisen auf eine 0-Day-Schwachstelle ( ZDI-CAN-25373) in Windows hin, die wohl seit 2017 von 11 staatlich unterst\u00fctzten Hackergruppen aus Nordkorea, Iran, Russland und China ausgenutzt wird. Microsoft hat die Schwachstelle in Verkn\u00fcpfungsdateien &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/03\/20\/windows-shortcut-exploit-seit-2017-von-staatlichen-hackers-als-0-day-genutzt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-309621","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/309621","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=309621"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/309621\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=309621"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=309621"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=309621"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}