Mobile-Menu

Manipulierte .lnk-Dateien ZDI entdeckt Zero-Day-Schwachstelle in Windows-Verknüpfungen

Quelle: Pressemitteilung 3 min Lesedauer

Anbieter zum Thema

TREND MICRO Deutschland GmbH
FTAPI Software GmbH

Zum Teil staatlich unterstützte Cyberangreifer nutzen der Zero Day Initiatve zufolge eine Zero-Day-Schwachstelle in Windows-Verknüpfungen aus, indem sie manipulierte .lnk-Dateien einschleusen. Einen Patch plane Hersteller Microsoft allerdings nicht.

Derzeit sollten Sie keiner unbekannten Windows-Verknüpfung trauen. Denn wie die Zero Day Initiatve berichtet, nutzen Angreifer derzeit eine Zero-Day-Schwachstelle aus, indem sie .Ink-Dateien manipulieren.(Bild: Dall-E / KI-generiert)
Derzeit sollten Sie keiner unbekannten Windows-Verknüpfung trauen. Denn wie die Zero Day Initiatve berichtet, nutzen Angreifer derzeit eine Zero-Day-Schwachstelle aus, indem sie .Ink-Dateien manipulieren.
(Bild: Dall-E / KI-generiert)

Eine Zero-Day-Schwachstelle, die die Zero Day Initiatve (ZDI) in Shortcut-Dateien von Windows gefunden hat, ermöglicht es Angreifern, schädliche Befehle auf den Systemen ihrer Opfer auszuführen. Die Analysten haben die Sicherheitslücke unter der Kennung ZDI-CAN-25373 ausführlich beschrieben. Dem Bericht zufolge wird die Sicherheitslücke derzeit aktiv von verschiedenen APT-Gruppen (Advanced Persistent Threat) ausgenutzt.

Manipulation von .Ink-Dateien

Die Ziele der Angriffskampagnen sind der ZDI zufolge hauptsächlich Cyberspionage und das Stehlen von sensiblen Informationen. Aber auch die finanzielle Bereicherung und das Verursachen von Schäden seien Absichten der APT-Gruppen.(Bild: Zero Day Initiative by Trend Micro)
Die Ziele der Angriffskampagnen sind der ZDI zufolge hauptsächlich Cyberspionage und das Stehlen von sensiblen Informationen. Aber auch die finanzielle Bereicherung und das Verursachen von Schäden seien Absichten der APT-Gruppen.
(Bild: Zero Day Initiative by Trend Micro)

Wie das Threat-Hunting-Team der ZDI herausfand, erstellen die Akteure manipulierte Windows-Verknüpfungen, sogenannte .Ink-Dateien, deren eigentliche Aufgabe es ist, auf ein anderen Programm, eine Datei oder einen Ordner zu verweisen. In den bösartigen Dateien sind jedoch versteckte Kommandozeilenargumente enthalten, die – wenn das Opfer diese öffnet – unbemerkt Befehle ausführt. Den Analysten zufolge reichen die entdeckten Kampagnen bis 2017 zurück. Dabei seien die Hauptziele der Kriminellen Cyberspionage und Datendiebstahl gewesen. Bisher konnte das Team fast tausend Shell-Link-Samples finden, die ZDI-CAN-25373 missbrauchten – doch die Dunkelziffer der Angriffe sei wahrscheinlich noch deutlich höher.

Um sich zu schützen, sollten Unternehmen folgende Maßnahmen umsetzen:

  • Überprüfen Sie Ihre Systeme auf die Präsenz verdächtiger .lnk-Dateien, indem Sie die Dateinamenerweiterung im Windows Explorer aktivieren und gezielt nach Dateien mit der .Ink-Endung suchen. Prüfen Sie dann, ob eine unerwartete Datei oder ein ungewöhnlicher Befehl hinterlegt ist sind.
  • Seien Sie vorsichtig beim Öffnen von Dateien aus unbekannten oder nicht vertrauenswürdigen Quellen.
  • Stellen Sie sicher, dass Ihre Sicherheitssoftware auf dem neuesten Stand ist.

Für das dedizierte Aufspüren von Dateien, die von ZDI-CAN-25373 betroffen sind, empfiehlt die ZDI folgende YARA-Regel:

rule ZTH_LNK_EXPLOIT_A{ meta: author = "Peter Girnus" description = "This YARA file detects padded LNK files designed to exploit ZDI-CAN-25373." reference = "<LINK_TO_BLOG>" target_entity = "file" strings: $magic = {4C 00 00 00 01 14 02 00} $spoof_a = {20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00 20 00} $spoof_b = {09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00 09 00} $spoof_c = {0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00 0A 00} $spoof_d = {0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00 0D 00} $spoof_e = {11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00 11 00} $spoof_f = {12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00 12 00} $spoof_g = {13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00 13 00} $spoof_h = {0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00 0D 00 0A 00} condition: $magic at 0x00 and ($spoof_a or $spoof_b or $spoof_c or $spoof_d or $spoof_e or $spoof_f or $spoof_g or $spoof_h)}

Teils staatlich unterstützte APT-Gruppen

Wie die Analysten der ZDI herausfanden, stammten die meisten Akteure, die die Zero-Day-Sicherheitslücke in Windows bereits ausgenutzt haben, aus Nordkorea.(Bild: Zero Day Initiative by Trend Micro)
Wie die Analysten der ZDI herausfanden, stammten die meisten Akteure, die die Zero-Day-Sicherheitslücke in Windows bereits ausgenutzt haben, aus Nordkorea.
(Bild: Zero Day Initiative by Trend Micro)

An den Angriffsversuchen seien sowohl staatlich wie auch nicht staatlich unterstützte APT-Gruppen beteiligt gewesen. Konkret konnte ZDI elf staatlich unterstütze Gruppe identifizieren, die aus Nordkorea, Iran, Russland und China stammen. Gemein hätten jedoch alle, dass sie über ein hohes Maß an Raffinesse verfügen und nicht zum ersten Mal Zero-Day-Schwachstellen in freier Wildbahn ausgenutzt hätten. Die meisten Akteure würden aus Nordkorea stammen und die Opfer größtenteils aus Nordamerika. Aber auch auf Ziele in Europa, Asien, Südamerika, Afrika und Australien hätten es die Akteure abgesehen.

Wie ZDI berichtet, hätten die Analysten bereits einen Proof-of-Concept-Exploit an Microsoft gesendet. Der Hersteller hätte es jedoch abgelehnt, einen Sicherheitspatch für diese Schwachstelle bereitzustellen.

(ID:50360876)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte