Seit Ende August 2025 ist eine LNK-File-Schwachstelle (CVE-2025-9491) bekannt. Diese lässt sich unter Windows für eine Remote Code-Ausführung missbrauchen. Microsoft wollte erst keinen Patch bereitstellen, hat dann aber doch was per Update getan. 0patch hatte bereits seit Monaten einen Micropatch für diese Schwachstelle.
Windows LNK-Schwachstelle CVE-2025-9491
Mit sind Meldungen zur LNK-Schwachstelle CVE-2025-9491 in Windows seit Wochen untergekommen. Diese Sicherheitslücke in der Benutzeroberfläche von Microsoft Windows LNK-Dateien ermöglicht es Angreifern, auf betroffenen Microsoft Windows-Installationen beliebigen Code remote auszuführen. Um diese Sicherheitslücke auszunutzen, ist eine Interaktion des Benutzers erforderlich, d. h. das Ziel muss eine bösartige Seite besuchen oder eine bösartige Datei öffnen.
Die spezifische Schwachstelle besteht in der Verarbeitung von .LNK-Dateien. Speziell gestaltete Daten in einer .LNK-Datei können dazu führen, dass gefährliche Inhalte in der Datei für einen Benutzer, der die Datei über die von Windows bereitgestellte Benutzeroberfläche überprüft, unsichtbar sind. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext des aktuellen Benutzers auszuführen. Die Trend Micro und die Zero-Day-Initiative haben die Schwachstelle mit einem CVSS 3.x Sore von 7.0 bewertet und unter ZDI-25-148 dokumentiert.
Microsoft hatte zum 1. November 2025 in diesem Dokument bestätigt, dass man sich der von Zero Day Initiative veröffentlichten Sicherheitslücke CVE-2025-9491 bewusst sei. Es gebe ein potenzielles Problem mit Windows-Verknüpfungsdateien (.lnk), aber der Benutzung werde mehrmals gewarnt, wenn er eine Lnk-Datei verarbeitet. Man habe den Sachverhalt untersucht und festgestellt, dass er nicht die Kriterien für die Einstufung als Sicherheitslücke erfüllt.
Der Microsoft Defender verfügt über Erkennungsmechanismen, um diese Bedrohung zu erkennen und zu blockieren, und Smart App Control bietet einen zusätzlichen Schutz, indem es schädliche Dateien aus dem Internet blockiert, heißt es weiter von Microsoft. Als bewährte Sicherheitsmaßnahme empfehlen die Microsoft-Leute Nutzern, beim Herunterladen von Dateien aus unbekannten Quellen Vorsicht walten zu lassen, um potenziell schädliche Dateien zu erkennen und Benutzer davor zu warnen.
CVE-2025-9491 doch gepatcht
Mitja Kolsek von ACROS Security hat mich gerade in einer privaten Nachricht darüber informiert, dass Microsoft die Schwachstelle CVE-2025-9491 doch noch stillschweigend gepatcht habe.
Kolsek schreibt in diesem Beitrag, dass die Diskussionen bereits am 18. März 2025 begannen. Trend Micro hatte entdeckt, dass Angreifer seit langem einen Trick anwenden, um die tatsächliche Funktion einer Windows-Verknüpfung zu verbergen und so zu verhindern, dass Benutzer bösartige Befehle sehen können.
Microsoft hat dann das Problem stillschweigend gepatcht, sodass bösartige Befehle nicht mehr versteckt werden können. Von ACROS Security gibt einen Micropatch, der entdeckte Angriffe tatsächlich blockiert. Details lassen sich hier nachlesen.
MVP: 2013 – 2016
