Windows: Acht Jahre alte 0-Day-Lücke bleibt offen

Sicherheitsexperten der Trend Zero Day Initiative (ZDI) hatten im September 2024 eine Sicherheitslücke in Windows-Systemen entdeckt, die zumindest seit dem Jahr 2017 angegriffen wird. Die Meldung an Microsoft erfolgte am 20. September 2024, doch eine Woche später lehnte der Software-Riese eine Korrektur ab: Der Fehler sei zu harmlos. ZDI setzte seine Untersuchungen fort und übermittelte am 8. November 2024 weitere Details. Nachdem Microsoft abermals nur mit den Schultern gezuckt hatte und auch weitere Gespräche keinen Fortschritt brachten, wurde die stark angestaubte 0-Day-Lücke nun öffentlich gemacht.

Was wurde gefunden?
Seitens ZDI wird die 0-Day-Lücke unter der Kennung ZDI-CAN-25373 (ZDI-25-148) geführt und mit einer CVSS-Wertung von 7,0 (hohe Gefahr) bewertet. Das Problem steckt im Umgang mit Verknüpfungen (.LNK-Dateien), in denen Angreifer speziell gestaltete Anweisungen verstecken können. Diese sind für den Windows-Nutzer nicht einsehbar, doch beim Anklicken der Verknüpfung wird der versteckte Code im Kontext der Benutzers ausgeführt. Bei ihrer Suche konnten die Sicherheitsexperten knapp 1.000 derart manipulierte .LNK-Dateien aufspüren, von denen die ältesten auf das Jahr 2017 datieren.

Angreifer und Opfer
Als Angreifer wurden staatliche unterstützte Akteure aus China, dem Iran, Nordkorea und Russland ausgemacht. Zu den Zielen gehören Regierungen und kritische Infrastruktur in Europa, Nordamerika, Asien und Australien. Auch auf Seiten der Anbieter von Malware-as-a-Service (MaaS) ist der .LNK-Fehler offenbar beliebt, dennoch lehnt Microsoft es bisher ab, sich mit dem Fehler zu beschäftigen. Dabei zielen die Angriffe primär auf die USA. In Europa ist Deutschland das beliebteste Ziel.

Der Fehler im Detail
In .LNK-Dateien finden sich unmittelbar hinter dem Header die sogenannten LinkFlags. Ist dort HasArguments gesetzt, umfasst die Datei zusätzliche Befehlszeilenargumente (COMMAND_LINE_ARGUMENTS), welche man auch zum Aufruf weiterer Programmdateien wie die Eingabeaufforderung (cmd.exe) oder PowerShell (powershell.exe) verwenden kann. Dies ist tatsächlich so gewollt, wird von Angreifern aber dazu genutzt, um zusätzliche Programme herunterzuladen und im Kontext des Nutzers auszuführen.

Wer auf Nummer sicher gehen will, macht einen Rechtsklick auf die Verknüpfung und sieht sich unter Eigenschaften das Feld Ziel an. Doch dummerweise kann man sich auf die dort präsentierten Informationen nicht verlassen, da die Nutzer von ZDI-CAN-25373 ihre Befehlszeilenargumente verstecken. Hierfür werden die folgenden Hex-Werte verwendet:

• \x20: Leerzeichen
• \x09: horizontaler Tabulator
• \x0A: Zeilenvorschub
• \x0B: vertikaler Tabulator
• \x0C: Seitenvorschub
• \x0D: Zeilenumbruch

Dem Betrachter wird somit ein harmloses Ziel vorgegaukelt und erst nach einer großen Zahl von unsichtbaren Zeichen folgen die gefährlichen Befehlszeilenargumente. Insofern versagt Windows gleich doppelt: Zum einen werden die problematischen Zeichen bei der Anzeige der Dateieigenschaften nicht ausgefiltert, zum anderen wird die Ausführung von Verknüpfungen mit solchen Füllzeichen nicht verhindert. Eigentlich sollte es für Microsoft ein Leichtes sein, die Zahl der Leerzeichen zu begrenzen und die übrigen Zeichen zu unterbinden. Aber in Redmond hat man halt andere Prioritäten.