Sicherheitsforscher von Trend Micro’s Zero Day Initiative (ZDI) haben eine kritische Zero-Day-Schwachstelle in Microsoft Windows aufgedeckt, die derzeit von mindestens elf staatlich unterstützten Hackergruppen aktiv ausgenutzt wird. Die Schwachstelle ermöglicht ausgefeilte Cyberangriffe, während Microsoft bislang keinen Sicherheitspatch bereitgestellt hat.
Ausmaß und Auswirkungen der Angriffe
Die Sicherheitsforscher haben etwa tausend bösartige Shell Link-Dateien (.lnk) identifiziert, die die als ZDI-CAN-25373 katalogisierte Schwachstelle ausnutzen. Rund 70% der dokumentierten Angriffe zielten auf Cyberspionage und Datendiebstahl ab, wobei die Attacken global verteilt sind und Ziele in Nord- und Südamerika, Europa, Ostasien und Australien umfassen.
Technische Analyse der Schwachstelle
Die Sicherheitslücke wurde als kritische Schwachstelle in der Benutzeroberfläche (CWE-451) eingestuft. Angreifer manipulieren spezielle Leerzeichenzeichen in der COMMAND_LINE_ARGUMENTS-Struktur von .lnk-Dateien, um schädlichen Code zu verschleiern. Diese Technik ermöglicht die Ausführung beliebiger Befehle auf kompromittierten Systemen, ohne dass Benutzer dies bemerken.
Angriffsmethodik und Verschleierungstechniken
Die Angreifer setzen verschiedene Unicode-Leerzeichen ein, darunter hexadezimale Darstellungen von Leerzeichen (\x20), Tabulatoren (\x09) und weitere Sonderzeichen. Diese raffinierte Methode macht bösartige Kommandozeilenargumente in der Windows-Benutzeroberfläche praktisch unsichtbar und erschwert die Erkennung erheblich.
Identifizierte APT-Gruppen und Malware
Zu den aktiven Angreifergruppen gehören bekannte APT-Akteure wie Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder und RedHotel. Diese Gruppen setzen verschiedene Malware-Familien ein, darunter Ursnif, Gh0st RAT und Trickbot, um ihre Angriffsziele zu kompromittieren.
Microsoft hat auf die Veröffentlichung mit dem Hinweis reagiert, dass die integrierten Sicherheitsfunktionen Windows Defender und Smart App Control solche Angriffe erkennen und blockieren können. Bis zur Bereitstellung eines dedizieren Patches empfehlen Sicherheitsexperten erhöhte Wachsamkeit beim Umgang mit Dateien aus unbekannten Quellen sowie die konsequente Installation aller verfügbaren Sicherheitsupdates. Organisationen sollten zusätzlich ihre Endpoint-Protection-Systeme aktualisieren und verdächtige .lnk-Dateien besonders aufmerksam überwachen.
