{"id":547835,"date":"2025-11-03T13:55:10","date_gmt":"2025-11-03T13:55:10","guid":{"rendered":"https:\/\/www.europesays.com\/de\/547835\/"},"modified":"2025-11-03T13:55:10","modified_gmt":"2025-11-03T13:55:10","slug":"windows-zero-day-luecke-bei-lnk-anzeige-gegen-diplomaten-missbraucht","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/547835\/","title":{"rendered":"Windows-Zero-Day-L\u00fccke bei LNK-Anzeige gegen Diplomaten missbraucht"},"content":{"rendered":"<p>Eine <a href=\"https:\/\/www.heise.de\/news\/Windows-Zero-Day-Luecke-bei-der-LNK-Anzeige-10625780.html\" target=\"_blank\" rel=\"noopener\">Zero-Day-L\u00fccke bei der Anzeige von LNK-Dateien in Windows<\/a> wurde Ende August dieses Jahres bekannt. Microsoft plant bislang keine Korrektur und stuft sie anders als die Zero Day Initiative (ZDI) von Trend Micro nicht als hochriskant ein. Das IT-Sicherheitsunternehmen Arctic Wolf hat Angriffe gegen europ\u00e4ische Diplomaten unter Missbrauch dieser Schwachstelle beobachtet.<\/p>\n<p>        Weiterlesen nach der Anzeige<\/p>\n<p>In einer <a href=\"https:\/\/arcticwolf.com\/resources\/blog\/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx\/\" rel=\"external noopener\" target=\"_blank\">Analyse von Arctic Wolf <\/a>schreiben die IT-Forscher, dass die mit China in Verbindung stehende Cybergruppierung UNC6384 eine aktive Spionagekampagne gegen europ\u00e4ische Diplomaten und diplomatische Einrichtungen etwa in Belgien, Italien, den Niederlanden, Serbien und Ungarn sowie die weitere europ\u00e4ische diplomatische Gemeinschaft ausgef\u00fchrt hat. Die Kampagne nutzt die LNK-Anzeigeschwachstelle in Windows aus und lief im September und Oktober dieses Jahres. Zudem setzen die Angreifer auf angepasstes Social Engineering.<\/p>\n<p>Die Angriffskette f\u00e4ngt mit Spearphishing-E-Mails an, die eine URL enthalten, die die erste von mehreren Stufen darstellt. Am Ende m\u00fcnden die in der Auslieferung einer b\u00f6sartigen LNK-Datei, die sich namentlich um Themen von Treffen der EU-Kommission, Workshops mit NATO-Bezug und multilateralen diplomatischen Koordinierungs-Events drehen. <\/p>\n<p>LNK-Dateien f\u00fchren zu Malware-Installation<\/p>\n<p>&#8222;Diese Dateien nutzen die k\u00fcrzlich bekannt gewordene Windows-Sicherheitsl\u00fccke aus, um verschleierte PowerShell-Befehle auszuf\u00fchren. Die entpacken und verteilen eine mehrstufige Malware-Kette, was schlie\u00dflich zur Verteilung des PlugX-Remote-Access-Trojaners (RAT) durch DLL-Side-Loading legitimer, signierter Canon-Druckerassistenzprogramme f\u00fchrt&#8220;, erkl\u00e4ren die IT-Forscher von Arctic Wolf.<\/p>\n<p>Die von Microsoft nicht als behebenswert eingestufte Schwachstelle wird also aktiv in Angriffen von Kriminellen missbraucht. Als Gegenma\u00dfnahme steht daher kein Patch von Microsoft zur Verf\u00fcgung. Arctic Wolf empfiehlt unter anderem, die Nutzung von .lnk-Dateien aus fragw\u00fcrdigen Quellen zu blockieren und zu beschr\u00e4nken. Dazu sei die Deaktivierung der automatischen Aufl\u00f6sung im Windows Explorer geeignet. Das sollte auf allen Windows-Endpoints umgesetzt werden. Wie das am einfachsten gelingt, ob es etwa eine Gruppenrichtlinie daf\u00fcr gibt, er\u00f6rtert Arctic Wolf hingegen nicht konkreter. <\/p>\n<p>Die IT-Forscher nennen noch einige Indizien f\u00fcr Infektionen (Indicators of Compromise, IOCs), nach denen Admins suchen k\u00f6nnen. Dazu geh\u00f6ren einige URLs der Command-and-Control-Infrastruktur. Au\u00dferdem k\u00f6nne die Suche nach Canon-Drucker-Assistent-Utilities, im Speziellen der Datei &#8222;cnmpaui.exe&#8220;, an ungew\u00f6hnlichen Orten wie den AppData-Verzeichnissen der User Hinweise liefern.<\/p>\n<p>        Weiterlesen nach der Anzeige<\/p>\n<p>M\u00f6glicherweise f\u00fchrt der Missbrauch der Schwachstelle im Internet dazu, dass Microsoft seine erste Einordnung korrigiert. Dann k\u00f6nnte das Unternehmen die Sicherheitsl\u00fccke schlie\u00dfen und dem gegebenen Versprechen entsprechen, <a href=\"https:\/\/www.heise.de\/news\/Microsoft-CEO-Nadella-Macht-im-Zweifel-mehr-Security-9708577.html\" target=\"_blank\" rel=\"noopener\">IT-Sicherheit als oberste Priorit\u00e4t<\/a> zu setzen. Derzeit sieht das <a href=\"https:\/\/www.heise.de\/meinung\/Microsofts-Secure-Future-Initiative-Bullshit-10505985.html\" target=\"_blank\" rel=\"noopener\">jedoch eher nach &#8222;Security-Theater&#8220; aus<\/a>. <\/p>\n<p>(<a class=\"redakteurskuerzel__link\" href=\"https:\/\/www.heise.de\/news\/mailto:dmk@heise.de\" title=\"Dirk Knop\" target=\"_blank\" rel=\"noopener\">dmk<\/a>)<\/p>\n<p>\n      Dieser Link ist leider nicht mehr g\u00fcltig.\n    <\/p>\n<p>Links zu verschenkten Artikeln werden ung\u00fcltig,<br \/>\n      wenn diese \u00e4lter als 7\u00a0Tage sind oder zu oft aufgerufen wurden.\n    <\/p>\n<p><strong>Sie ben\u00f6tigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen \u2013 ohne Verpflichtung!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"Eine Zero-Day-L\u00fccke bei der Anzeige von LNK-Dateien in Windows wurde Ende August dieses Jahres bekannt. Microsoft plant bislang&hellip;\n","protected":false},"author":2,"featured_media":547836,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[29,18795,30,196,133330,199,190,189,1687,4970,194,191,202,193,192],"class_list":{"0":"post-547835","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-deutschland","9":"tag-exploit","10":"tag-germany","11":"tag-it","12":"tag-lnk","13":"tag-microsoft","14":"tag-science","15":"tag-science-technology","16":"tag-security","17":"tag-sicherheitsluecken","18":"tag-technik","19":"tag-technology","20":"tag-windows","21":"tag-wissenschaft","22":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/115486112268781732","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/547835","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=547835"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/547835\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/547836"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=547835"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=547835"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=547835"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}