Ein lange übersehener Manipulationstrick in Windows-Verknüpfungen sorgt erneut für Diskussionen über den Umgang mit Schwachstellen im Microsoft-Ökosystem. Trend Micro hatte bereits im Frühjahr dokumentiert, dass Angreifer seit Jahren LNK-Dateien nutzen, um schädliche Befehle hinter unauffälligen "Whitespace"-Zeichen zu verstecken. Obwohl die Tarnung in realen Kampagnen seit 2017 eingesetzt wurde, stufte Microsoft das Verhalten zunächst nicht als sicherheitsrelevant ein – mit dem Hinweis, Nutzer würden ohnehin beim Öffnen externer Shortcuts gewarnt.

Zielgerichtete Angriffe

Im Herbst wurde das Thema jedoch neu aufgerollt. Sicherheitsforscher von Arctic Wolf dokumentierten eine zielgerichtete Kampagne des mutmaßlich chinesischen Akteurs UNC6384 gegen diplomatische Einrichtungen in Europa. Die Angreifer setzten erneut auf manipulierte LNK-Dateien, die Trend Micro unter der Kennung ZDI-CAN-25373 geführt hatte und die inzwischen die offizielle CVE-Nummer CVE-2025-9491 trägt. Der Kern des Problems: Die Windows-Oberfläche zeigt in den Shortcut-Eigenschaften nur die ersten 260 Zeichen des hinterlegten Befehls – obwohl Verknüpfungen technisch sehr viel längere Strings enthalten können. Dadurch wurden Anwendern wesentliche Teile des ausgeführten Codes vorenthalten.

Microsoft blieb trotz öffentlicher Kritik zunächst bei seiner Einschätzung, dass ausreichend Nutzerinteraktion vorhanden sei und Warnhinweise den Angriff abfedern würden. Doch mit den Windows-Updates im November stellte sich heraus, dass der Konzern das Problem still entschärft hatte: Die Eigenschaften-Ansicht zeigt nun auch extrem lange Befehlsketten vollständig an. Eine Sicherheitsmeldung oder eine explizite Einstufung als Schwachstelle blieb jedoch aus – die Änderung wurde als funktionaler Fix eingestuft.

Weitergehender Schutz

Parallel dazu entwickelten die Sicherheitsforscher von 0patch eine eigene, deutlich restriktivere Gegenmaßnahme. Ihr Ansatz basiert auf einer pragmatischen Annahme: Legitimen Benutzeraktionen zufolge überschreiten manuell erstellte Verknüpfungen die 260-Zeichen-Grenze nicht. Ihre Micropatches kürzen daher automatisch jeden Shortcut, dessen Zielstring länger ist – allerdings nur dann, wenn er durch den Datei-Explorer ausgeführt wird. Anwender erhalten in solchen Fällen eine Warnung, und der potenziell schädliche Teil des Befehls wird blockiert. Damit würden über 1000 von Trend Micro dokumentierte, bereits eingesetzte LNK-Angriffe zuverlässig neutralisiert.

Die alternativen Patches decken eine breite Palette von Windows-Versionen ab – einschließlich älterer Systeme wie Windows 7 und Windows Server 2008 R2 sowie mehrere Windows-10-Generationen. Auf Serverseite fällt zudem auf, dass Microsoft nicht alle noch unterstützten Varianten mit dem stillen Fix versorgt hat, während 0patch Lücken in Windows Server 2016, 2019 und 2022 schließt. Die Unterschiede in den Patch-Strategien zeigen, wie unterschiedlich Anbieter Sicherheitsrisiken bewerten – und wie komplex der Umgang mit scheinbar kleinen UI-Schwächen in modernen Betriebssystemen sein kann.