Microsoft hat das Verhalten der Vorschauansicht im Windows File Explorer angepasst, um einen wenig interaktiven Angriffsvektor zur Abgreifung von NTLM-Anmeldedaten zu schließen. Seit den Updates vom 14. Oktober 2025 ist die Vorschau fuer aus dem Internet stammende Dateien standardmaessig deaktiviert. Betroffen sind Downloads mit Mark of the Web (MotW) sowie Inhalte aus als „Internet“-Zone klassifizierten Netzwerkpfaden.
Was sich aendert: Vorschau blockiert, Hinweis statt Rendering
Bei Dateien mit MotW und bei Inhalten aus unsicheren Zonen rendert die Vorschauansicht kein eingebettetes Material mehr. Stattdessen zeigt der Explorer einen Hinweis, dass der Versuch, die Datei zu betrachten, dem Geraet schaden koenne, und fordert bei Vertrauenswuerdigkeit zum expliziten Oeffnen auf. Diese Entscheidung unterbindet automatisches Laden externer Ressourcen direkt beim Markieren der Datei im Explorer.
Warum das wichtig ist: NTLM-Hash-Leaks ohne Dateioeffnen
Einige Dateiformate koennen beim Vorschau-Rendering stillschweigende Netzwerkzugriffe ausloesen, etwa über HTML-Tags oder Referenzen wie src und link zu externen SMB- oder WebDAV-Pfaden. Dabei versucht Windows moeglicherweise, sich per NTLM zu authentifizieren und sendet einen Hash-Response. Angreifer koennen diese Hashes abfangen oder weiterleiten (NTLM-Relay), ohne dass der Benutzer die Datei oeffnet – bloßes Markieren im Explorer reichte bislang aus. Hintergrundinformationen zu NTLM und bekannten Relay-Techniken liefern u. a. Microsoft und MITRE ATT&CK (T1557 Adversary-in-the-Middle).
Mark of the Web und Zonenmodell verstaendlich erklaert
MotW ist eine NTFS-Alternate-Data-Stream-Markierung (Zone.Identifier), die Windows und Browser beim Download aus externen Quellen setzen. Darauf basierend erzwingen Sicherheitsrichtlinien, SmartScreen und Apps restriktive Modi – nun inklusive der Blockade der Vorschau. Details zu MotW und Sicherheitszonen beschreibt Microsoft in der offiziellen Dokumentation (z. B. Microsoft Learn).
Verfuegbarkeit und kontrollierte Ausnahmen im Vertrauensfall
Die Aenderung gilt fuer Windows 11 und Windows Server ab den Oktober-Updates 2025. In begruendeten Faellen sind punktuelle Ausnahmen moeglich: Ueber die Dateieigenschaften laesst sich unter „Allgemein“ die Option „Entsperren“ aktivieren, um die MotW-Markierung zu entfernen. Fuer vertrauenswuerdige Netzwerkpfade koennen Administratoren die Adresse in Trusted Sites (Internetoptionen → Sicherheit) aufnehmen und so die strengeren Zonenrichtlinien gezielt lockern.
Auswirkung auf Angriffsketten: Zero-Click-Vektor geschlossen
Das Blockieren der Vorschau eliminiert einen Zero-Interaction-Pfad, der insbesondere bei Formaten mit eingebetteten SMB/WebDAV-Referenzen missbraucht wurde. Dadurch sinkt die Wahrscheinlichkeit, dass NTLM-Hashes unbemerkt abfließen und spaeter offline gecrackt oder in Relay-Angriffen missbraucht werden. Der Ansatz folgt Best Practices, die Microsoft und Branchengremien seit Jahren empfehlen: keine transparenten Netzwerkauthentifizierungen ohne explizite Nutzeraktion.
Empfehlungen fuer Unternehmen: mehrschichtige Haertung
Die OS-Seitige Maßnahme ist ein wichtiger Baustein, ersetzt aber keine Defense-in-Depth-Strategie. Organisationen sollten:
– NTLM minimieren und Kerberos bevorzugen; Richtlinien „Network security: Restrict NTLM“ aktivieren und ausgehende NTLM-Anfragen beschraenken (Microsoft Learn).
– Credential Guard einsetzen, um Geheimnisse in einem isolierten Umfeld zu schuetzen und Abflussrisiken zu senken (Microsoft Learn).
– SMB-Signatur und, wo moeglich, Channel-Bindings erzwingen, um Relay-Angriffe zu erschweren (Microsoft Learn).
– Attack Surface Reduction (ASR)-Regeln und Microsoft Defender SmartScreen aktivieren, um riskante Inhalte und Makro-/Script-Pfade zu blockieren (Microsoft Learn).
– Signierte interne Dokumente und verwaltete Dateifreigaben nutzen, um MotW gezielt zu vermeiden, wo es betriebsbedingt notwendig und sicher ist.
– Sensibilisierung der Anwender fuer Risiken von „Internet-Dateien“ und für den sicheren Umgang mit Netzwerkfreigaben.
Unternehmen sollten Prozesse überpruefen, die bisher von der Explorer-Vorschau bei Internet- oder Netzwerkzonen-Dateien abhaengen, und parallel NTLM-Reduktionsprogramme, Credential Guard, SMB-Signatur sowie ASR-Regeln priorisieren. Weiterfuehrende Informationen bieten Microsoft Learn zu Credential Guard, Restrict NTLM, SMB-Sicherheit, ASR-Regeln und MITRE ATT&CK T1557. Das Update ist ein pragmatischer Kompromiss zwischen Bedienkomfort und Sicherheit – und ein wirksamer Schritt, um NTLM-Hash-Leaks durch die Vorschauansicht nachhaltig einzudaemmen.
