Timepopo – shutterstock.com
Experten des Sicherheits-Unternehmens Development Micro haben eine als ZDI-CAN-25373 bezeichnete Sicherheitslücke in Home windows entdeckt, die Angreifer seit mindestens 2017 ausnutzen. Über die Lücke können die Angreifer Schadcode auf den betroffenen Home windows-Rechnern ausführen, sofern der Benutzer eine verseuchte Webseite besucht oder eine infizierte Datei öffnet.
Die Lücke steckt in der Vorgehensweise, wie Home windows .lnk-Dateien (Verknüpfungsdateien) verarbeitet. Angreifer können Kommandozeilen-Befehle, die für Home windows-Benutzer unsichtbar sind, über diese Lücke einschleusen. Sobald der Anwender die entsprechende Datei öffnet, werden diese versteckten Befehle ausgeführt. Laut Development Micro nutzen mindestens elf Hackergruppen, die mit staatlichen Akteuren wie Nordkorea, Iran, Russland und China in Verbindung gebracht werden, diese Lücke aus. Ziele sind aber nicht Privatanwender, sondern Regierungseinrichtungen und Organisationen aus verschiedenen Teilen der Erde. Typischerweise stehen die Angegriffenen in Verbindung mit Themen wie Finanzen, Militär, Telekommunikation oder Energie, die ausspioniert werden sollen.
Die angegriffenen Einrichtungen befinden sich in Nordamerika, Europa, Asien, Südamerika und Australien. In Europa scheinen vor allem Einrichtungen aus Deutschland angegriffen zu werden. Die Sicherheitsforscher schreiben: Wir haben quick tausend Shell Hyperlink (.lnk)-Samples entdeckt, die ZDI-CAN-25373 ausnutzen; es ist jedoch wahrscheinlich, dass die Gesamtzahl der Ausnutzungsversuche viel höher ist. Daraufhin haben wir einen Proof-of-Idea-Exploit im Rahmen des Bug Bounty-Programms von Development ZDI bei Microsoft eingereicht, das es jedoch ablehnte, diese Schwachstelle mit einem Sicherheitspatch zu beheben.
