Zero-Day-Sicherheitslücke in Windows-Verknüpfungen

10. Juli, 2025

Im März 2025 wurde eine kritische Schwachstelle in Microsoft Windows öffentlich bekannt: ZDI-CAN-25373 betrifft .lnk-Dateien – auch bekannt als Windows-Verknüpfungen. Die Kennung stammt von der Zero Day Initiative (ZDI), einem Programm zur Meldung und Koordination von Sicherheitslücken.

Aufgrund einer Abweichung zwischen der offiziellen Microsoft-Spezifikation (MS-SHLLINK v8.0) und deren tatsächlicher Implementierung im Windows Explorer können .lnk-Dateien so manipuliert werden, dass beim Öffnen unsichtbar Shell-Befehle ausgeführt werden – ganz ohne Zutun des Nutzers.

Technische Details zur .lnk-Schwachstelle

Das fehlerhafte Parsing-Verhalten erlaubt es Angreifern, Shell-Befehle durch Einfügen zahlreicher Leerzeichen im Argumentfeld zu tarnen. Diese bleiben im Windows Explorer unsichtbar, werden jedoch beim Öffnen der Verknüpfung unbemerkt ausgeführt – ideal für Spionage, Datendiebstahl oder persistente Malware-Installation.

Besonders kritisch: Die Ausnutzung der Schwachstelle erfordert keine Adminrechte oder fortgeschrittene Exploits. Sie funktioniert durch einfaches Platzieren manipulierter .lnk-Dateien auf dem System, etwa in ZIP-Archiven, Netzlaufwerken oder USB-Sticks, was sie besonders gefährlich macht. Außerdem ist die Erkennung durch klassische AV-Lösungen schwierig, da .lnk-Dateien per se nicht als gefährlich gelten.

In the Wild: XDigo-Kampagne der APT-Gruppe XDSpy

Die erste öffentlich dokumentierte Ausnutzung dieser Schwachstelle wurde vom IKARUS-Partner HarfangLab beobachtet. Die Gruppe XDSpy, aktiv seit über einem Jahrzehnt, nutzt in einer aktuellen Spionagekampagne ein neues Implantat namens XDigo.

Die Infektionskette umfasst:

Initiale ZIP-Datei mit eingebetteter zweiter ZIP.
Tarn-PDF, legitime umbenannte EXE und eine bösartige DLL.
DLL-Sideloading durch die EXE → Start von ETDownloader.
Nachgeladen wird XDigo, ein in Go geschriebenes Implantat zur Datensammlung und Persistenz.

Die Kampagne richtet sich primär gegen Regierungsbehörden in Osteuropa, insbesondere Moldawien und Russland.

Angriffe über .lnk-Dateien erkennen und verhindern

Da Microsoft keinen Patch veröffentlicht hat, sind präventive Maßnahmen auf Seiten der Organisationen unerlässlich:

Blockieren Sie .lnk-Dateien aus nicht vertrauenswürdigen Quellen auf E-Mail-Gateways (z. B. mit dem Anhang-Filter in IKARUS mail.security)
Verhindern Sie Ausführung von .lnk-Dateien über externe Medien (USB, Netzlaufwerke) via Gruppenrichtlinien/SRP
Informieren Sie Anwender:innen über die Risiken von Windows-Verknüpfungen in ZIP-Dateien
Konfigurieren Sie Ihre EDR/EPP-Systeme (z.B. HarfangLab Guard feat.IKARUS) mit Verhaltensregeln, z. B. Alarmierung bei cmd.exe/powershell.exe, gestartet über .lnk
Threat Hunting nach .lnk-Dateien mit ungewöhnlicher Argumentstruktur
Verwenden Sie YARA-Regeln und IOCs, um XDigo-bezogene Artefakte zu identifizieren

Eine tiefgreifende technische Analyse sowie passende Indicators of Compromise (IOCs) und YARA-Regeln finden Sie hier: https://harfanglab.io/insidethelab/sadfuture-xdspy-latest-evolution.