![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Seit Ende August 2025 ist eine LNK-File-Schwachstelle (CVE-2025-9491) bekannt. Diese l\u00e4sst sich unter Windows f\u00fcr eine Remote Code-Ausf\u00fchrung missbrauchen. Microsoft wollte erst keinen Patch bereitstellen, hat dann aber doch was per Update getan. 0patch hatte bereits seit Monaten einen Micropatch f\u00fcr diese Schwachstelle.<\/p>\n
<\/p>\n
Die spezifische Schwachstelle besteht in der Verarbeitung von .LNK-Dateien. Speziell gestaltete Daten in einer .LNK-Datei k\u00f6nnen dazu f\u00fchren, dass gef\u00e4hrliche Inhalte in der Datei f\u00fcr einen Benutzer, der die Datei \u00fcber die von Windows bereitgestellte Benutzeroberfl\u00e4che \u00fcberpr\u00fcft, unsichtbar sind. Ein Angreifer kann diese Sicherheitsl\u00fccke ausnutzen, um Code im Kontext des aktuellen Benutzers auszuf\u00fchren. Die Trend Micro und die Zero-Day-Initiative haben die Schwachstelle mit einem CVSS 3.x Sore von 7.0 bewertet und unter ZDI-25-148<\/a> dokumentiert.<\/p>\n Microsoft hatte zum 1. November 2025 in diesem Dokument<\/a> best\u00e4tigt, dass man sich der von Zero Day Initiative ver\u00f6ffentlichten Sicherheitsl\u00fccke CVE-2025-9491 bewusst sei. Es gebe ein potenzielles Problem mit Windows-Verkn\u00fcpfungsdateien (.lnk), aber der Benutzung werde mehrmals gewarnt, wenn er eine Lnk-Datei verarbeitet. Man habe den Sachverhalt untersucht und festgestellt, dass er nicht die Kriterien f\u00fcr die Einstufung als Sicherheitsl\u00fccke erf\u00fcllt.<\/p>\n Der Microsoft Defender verf\u00fcgt \u00fcber Erkennungsmechanismen, um diese Bedrohung zu erkennen und zu blockieren, und Smart App Control bietet einen zus\u00e4tzlichen Schutz, indem es sch\u00e4dliche Dateien aus dem Internet blockiert, hei\u00dft es weiter von Microsoft. Als bew\u00e4hrte Sicherheitsma\u00dfnahme empfehlen die Microsoft-Leute Nutzern, beim Herunterladen von Dateien aus unbekannten Quellen Vorsicht walten zu lassen, um potenziell sch\u00e4dliche Dateien zu erkennen und Benutzer davor zu warnen.<\/p>\n Mitja Kolsek von ACROS Security hat mich gerade in einer privaten Nachricht dar\u00fcber informiert, dass Microsoft die Schwachstelle\u00a0CVE-2025-9491 doch noch stillschweigend gepatcht habe.<\/p>\n Kolsek schreibt in diesem Beitrag<\/a>, dass die Diskussionen bereits am 18. M\u00e4rz 2025 begannen. Trend Micro hatte entdeckt, dass Angreifer seit langem einen Trick anwenden, um die tats\u00e4chliche Funktion einer Windows-Verkn\u00fcpfung zu verbergen und so zu verhindern, dass Benutzer b\u00f6sartige Befehle sehen k\u00f6nnen.<\/p>\n Microsoft hat dann das Problem stillschweigend gepatcht, sodass b\u00f6sartige Befehle nicht mehr versteckt werden k\u00f6nnen. Von ACROS Security gibt einen Micropatch, der entdeckte Angriffe tats\u00e4chlich blockiert. Details lassen sich hier nachlesen<\/a>.<\/p>\n Nachtrag; Kolsek hat mir in einer privaten Mitteilung noch folgendes geschrieben:<\/p>\n Jemand wies uns sp\u00e4ter darauf hin, dass diese \u00c4nderung bereits im Juni 2025 von Microsoft eingef\u00fchrt wurde, aber m\u00f6glicherweise schrittweise aktiviert wurde. Bei einem unserer getesteten Windows 11 24H2-Computer, den wir erneut \u00fcberpr\u00fcft haben, war sie beispielsweise im August 2025 aktiviert. Unsere Behauptung, dass sie im November eingef\u00fchrt worden sei, war daher falsch. Alle anderen Angaben bleiben unver\u00e4ndert, und der Blogbeitrag<\/a> wurde entsprechend aktualisiert.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":" Seit Ende August 2025 ist eine LNK-File-Schwachstelle (CVE-2025-9491) bekannt. Diese l\u00e4sst sich unter Windows f\u00fcr eine Remote Code-Ausf\u00fchrung missbrauchen. Microsoft wollte erst keinen Patch bereitstellen, hat dann aber doch was per Update getan. 0patch hatte bereits seit Monaten einen Micropatch … Weiterlesen Mit sind Meldungen zur LNK-Schwachstelle CVE-2025-9491<\/a> in Windows seit Wochen untergekommen. Diese Sicherheitsl\u00fccke\u00a0in der Benutzeroberfl\u00e4che von Microsoft Windows LNK-Dateien erm\u00f6glicht es Angreifern, auf betroffenen Microsoft Windows-Installationen beliebigen Code remote auszuf\u00fchren. Um diese Sicherheitsl\u00fccke auszunutzen, ist eine Interaktion des Benutzers erforderlich, d. h. das Ziel muss eine b\u00f6sartige Seite besuchen oder eine b\u00f6sartige Datei \u00f6ffnen.<\/p>\n
CVE-2025-9491 doch gepatcht<\/h2>\n
![\"0patch](\"https:\/\/i.imgur.com\/VkIbCfg.png\")
<\/p>\n