Im Sommer 2025 wurde bekannt, dass Microsoft still und ohne große Ankündigung das Verhalten von LNK-Verknüpfungen in Windows geändert hat – und damit faktisch eine der am aktivsten ausgenutzten Schwachstellen der Plattform entschärfte: CVE-2025-9491. Zu diesem Zeitpunkt hatten bereits mindestens elf Hackergruppen, darunter nordkoreanische APTs und die berüchtigte Cybercrime-Gruppe Evil Corp, den Mechanismus in realen Angriffskampagnen missbraucht. Bemerkenswert ist dabei, dass Microsoft die Schwachstelle lange Zeit nicht als vollwertige Sicherheitslücke einstufen wollte.
Was hinter CVE-2025-9491 in Windows-LNK steckt
Eine Windows-LNK-Datei ist ein kleiner Shortcut, der im Wesentlichen den Pfad zum Zielprogramm (Target) und optionale Startparameter enthält. Die Schwachstelle CVE-2025-9491 beruht auf einem Anzeigefehler in der Windows-Oberfläche: In den Eigenschaften einer Verknüpfung werden nur die ersten 260 Zeichen des Target-Feldes sichtbar dargestellt, der Rest bleibt für den Nutzer unsichtbar.
Angreifer nutzten diesen Darstellungsfehler systematisch aus. In der sichtbaren Zone des Target-Feldes platzierten sie Leerzeichen oder eine scheinbar harmlose Kommandozeile, die beim Prüfen vertrauenswürdig aussieht. Im nicht sichtbaren Teil folgten dann versteckte, aber ausführbare Argumente, etwa der Aufruf eines Downloaders oder die Übergabe von Parametern an ein bereits vorhandenes Systemprogramm (Living-off-the-Land). Beim Doppelklick auf die Verknüpfung wurde die komplette Kommandozeile ausgeführt – inklusive der versteckten, potenziell schädlichen Argumente.
UI-Fehler als Angriffsvektor: Social Engineering im Vordergrund
Aus sicherheitstechnischer Sicht handelt es sich bei CVE-2025-9491 um einen typischen UI-Redressing-Effekt: Die Oberfläche vermittelt dem Nutzer ein unvollständiges Bild, auf dessen Basis er eine Vertrauensentscheidung trifft. Kombiniert mit Social-Engineering-Techniken – etwa täuschend echten Dateinamen, Dokument-Icons oder Kontextbezug in Spear-Phishing-Mails – entsteht ein verlässlicher Angriffsvektor für Initial Access, wie er auch im MITRE-ATT&CK-Framework beschrieben ist.
APT-Gruppen und Cybercrime: Wer die LNK-Schwachstelle ausnutzte
Nach Analysen von Trend Micro setzten mindestens 11 unterschiedliche Gruppen CVE-2025-9491 aktiv ein. Darunter befanden sich die nordkoreanischen Spionagegruppen APT37 und APT43 (Kimsuky), aber auch weitere bekannte Akteure wie Mustang Panda, SideWinder, RedHotel, Konni, Bitter sowie die finanziell motivierte Gruppe Evil Corp. Das Spektrum zeigt, dass die Schwachstelle sowohl für staatlich gesteuerte APT-Kampagnen als auch für klassischen Cybercrime von hohem Interesse war.
Über manipulierte LNK-Dateien wurden unterschiedliche Payloads verteilt, darunter der Banking-Trojaner Ursnif, der Remote-Access-Trojaner Gh0st RAT, Trickbot sowie weitere Malware-Familien, die häufig im Modell Malware-as-a-Service (MaaS) angeboten werden. Dadurch konnten auch weniger technisch versierte Angreifer auf fertige Exploit-Ketten zugreifen, die LNK-Dateien als unauffälligen Einstiegspunkt nutzten.
Mustang Panda setzte CVE-2025-9491 als 0‑Day ein
Sicherheitsforscher von Arctic Wolf und StrikeReady führten besonders die chinesische Gruppe Mustang Panda an, die den LNK-Mechanismus offenbar bereits nutzte, bevor die Schwachstelle öffentlich dokumentiert war – also als 0‑Day. Im Fokus der Kampagnen standen europäische Diplomaten und Behörden, unter anderem in Ungarn und Belgien. Über präparierte Verknüpfungen schleusten die Angreifer den Spionage-Trojaner PlugX ein, der für langfristige, verdeckte Präsenz in Netzwerken bekannt ist.
Microsofts Zurückhaltung und die Debatte um die Einstufung als Sicherheitslücke
Bereits im März 2025 informierte Trend Micro Microsoft über die aktive Ausnutzung von CVE-2025-9491. Der Hersteller kündigte laut den Forschern lediglich an, eine mögliche Korrektur zu „prüfen“ und bewertete den Fall nicht als prioritäres Sicherheitsproblem. Im November 2025 präzisierte Microsoft seine Sichtweise: Man sehe darin keine klassische Verwundbarkeit, da eine Nutzerinteraktion erforderlich sei und Windows beim Öffnen potenziell unsicherer Dateien Warnhinweise einblende.
Aus Praxissicht ist diese Argumentation angreifbar. Mehrere Kampagnen kombinierten LNK-Angriffe mit weiteren Windows-Schwachstellen, um den Schutzmechanismus Mark of the Web (MoTW) zu umgehen, der Dateien aus dem Internet kennzeichnet. Gelingt dieser Bypass, erscheinen keine Warnmeldungen – die LNK-Datei wirkt wie ein lokales, vertrauenswürdiges Objekt. Damit reduziert sich die Verteidigung oft allein auf das Sicherheitsbewusstsein des Nutzers.
Leiser Windows-Patch und Micro-Patch von 0patch
Mitya Kolsek, Gründer von Acros Security und Mitbegründer der Plattform 0patch, berichtete, dass Microsoft nach den Juni-Updates 2025 die LNK-Verarbeitung stillschweigend angepasst hat. Seitdem zeigt der Eigenschaften-Dialog einer Verknüpfung die komplette Target-Zeile an, nicht mehr nur die ersten 260 Zeichen. Die Änderung wurde schrittweise ausgerollt und nicht durch ein eigenes Security Bulletin hervorgehoben.
Aus Sicherheitsoptik handelt es sich jedoch nur um eine Teilkorrektur. Die schädlichen Argumente sind weiterhin Bestandteil der Verknüpfung und werden beim Start ausgeführt. Windows weist zudem nicht gesondert auf ungewöhnlich lange Target-Zeilen hin. Das Risiko sinkt zwar, weil aufmerksame Nutzer nun die vollständige Kommandozeile sehen können, doch bleibt die Angriffsmöglichkeit in Social-Engineering-Szenarien bestehen, in denen Eigenschaften selten geprüft werden.
Als Reaktion veröffentlichte Acros Security einen Micro-Patch über 0patch. Dieses inoffizielle Fix begrenzt die effektive Länge des Target-Feldes von LNK-Dateien strikt auf 260 Zeichen und blendet zusätzlich eine Warnung ein, wenn eine Verknüpfung mit verdächtig langem Ziel gestartet werden soll. Der Patch wird als Übergangslösung positioniert, bis Microsoft einen vollumfänglichen offiziellen Fix bereitstellt. Unterstützt werden Clients von Windows 7 bis Windows 11 22H2 und Server-Versionen von Windows Server 2008 R2 bis Windows Server 2022 für 0patch-Kunden mit PRO- und Enterprise-Tarifen.
Praktische Risiken und empfohlene Schutzmaßnahmen gegen LNK-Angriffe
CVE-2025-9491 verdeutlicht, dass selbst scheinbar „kosmetische“ UI-Fehler kritische Folgen haben können, wenn sie das Vertrauen des Nutzers in Dateieigenschaften untergraben. In vielen beobachteten Kampagnen war Social Engineering der zentrale Erfolgsfaktor: LNK-Dateien wurden als Dokumente oder Applikations-Shortcuts getarnt, in ZIP-Archiven versteckt oder über kompromittierte Mailkonten versendet.
Organisationen und Privatanwender sollten daher ein mehrschichtiges Schutzkonzept etablieren, das sowohl technische als auch organisatorische Maßnahmen umfasst:
- Aktuelle Updates einspielen: Alle verfügbaren Sicherheitsupdates für Windows und Office umgehend installieren und den Patch-Management-Prozess regelmäßig überprüfen.
- LNK-Dateien filtern: Die Zustellung von LNK-Anhängen über E-Mail-Gateways und Messaging-Plattformen einschränken oder blockieren; Ausnahmen nur streng kontrolliert zulassen.
- Application Control nutzen: Mechanismen wie AppLocker, Windows Defender Application Control oder vergleichbare Lösungen einsetzen, um die Ausführung von LNK-Dateien aus Download-Verzeichnissen, temporären Ordnern und Netzlaufwerken zu unterbinden.
- EDR und Logging: Endpoint-Detection-and-Response-Lösungen einsetzen, die auffällige Prozessketten nach dem Start einer Verknüpfung erkennen und detailliertes Logging für forensische Analysen bereitstellen.
- Sensibilisierung der Mitarbeitenden: Security-Awareness-Trainings durchführen, die explizit auf die Risiken von Verknüpfungen, Archiven und unerwarteten Dateitypen in E-Mails eingehen.
Die Geschichte mit CVE-2025-9491 unterstreicht, wie wichtig es ist, dass Anbieter schnell auf Meldungen von Forschern reagieren und transparent mit der Community kommunizieren. Bis Microsoft alle Möglichkeiten zur Ausnutzung dieser Anomalie in LNK-Verknüpfungen endgültig geschlossen hat, bleibt ein mehrstufiger Ansatz zum Schutz von entscheidender Bedeutung: zeitnahe Aktualisierung der Systeme, strenge Richtlinien für den Umgang mit Dateien aus externen Quellen und kontinuierliche Überwachung der Aktivitäten im Netzwerk. Unternehmen sollten solche Vorfälle als Signal betrachten, ihre Prozesse zum Umgang mit Schwachstellen zu überdenken und ihre allgemeine Cyber-Resilienz zu stärken.
