Windows-ZeroDay wird aktiv ausgenutzt

Am Von In UP2DATE

This content is protected against AI scraping.

Ungepatchter Windows-ZeroDay CVE-2025-9491 wird nun aktiv genutzt, berichtet die Sicherheitsfirma ArcticWolf. Der ZeroDay bestehe demnach seit 2017, sei im März 2025 entdeckt worden und wird nun massiv ausgenutzt. Gezielt angegriffen werden staatliche, europäische Institutionen. Es ist nur eine Frage der Zeit, bis auch „normale“ Enduser:innen im Fokus der Cyberkriminellen stehen.

CVE-2025-9491 beruht auf einem Fehler im Windows‑Shortcut‑Binärformat. Diese Windows‑Komponente erleichtert das Öffnen von Anwendungen bzw. den Zugriff auf Dateien, indem ein einzelnes Binärdatei‑Objekt sie ohne Navigation zu ihrem Speicherort starten kann. Sie nehmen das als die Link-Pfeile in Verknüpfungs-Icons z. B. im Explorer wahr.

Die Payload sei der weit verbreiteter Remote‑Access‑Trojaner PlugX. Um die Malware besser zu verbergen, bliebe die Exploit‑Datei bis zum letzten Angriffsschritt im RC4‑Format verschlüsselt.

Was können Sie tun?

  • Halten Sie Ihre Software aktuell! Es kann durchaus sein, dass Microsoft nun ein SicherheitsUpdaten – auch außerhalb der Patchdays – frei gibt.
  • Sie legen selbst Hand an und verbieten dem Explorer das Ausführen der *.lnk-Dateien. Wie das geht, lesen Sie hier auf digiprax.maniabel.work/:

ArcticWolf: [https://arcticwolf.com/resources/blog/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx/]

TrendMicro: [https://www.trendmicro.com/en_us/re

Update. 2025-12-03: Mit dem November-Update 2025 veröffentlichte Microsoft einen „Nicht-Patch-Patch“. Recht lautlos wurde der Umgang von Windows mit den *lnk-Dateien geändert, wohl mit dem Ziel, die Sicherheitslücke CVE-2025-9491 zu schließen. Nach der Installation der Updates vom November 2025 können Benutzer:innen nun beim Öffnen der Eigenschaften von *.lnk-Dateien alle Zeichen im Feld „Ziel“ sehen, nicht nur die ersten 260. Eine Lösung für die Bedrohung ist das nicht, da die bösartigen Zeichenfolgen nicht gelöscht wurden. User:innen erhalten auch bisher keine Warnung. Die Gefahr ist nun zwar besser sichtbar, aber nicht gebannt.
Daher bleibt es bei der Empfehlung, das Ausführen von *lnk-Dateien in Windows zu unterbinden: https://maniabel.work/archiv/399

[https://blog.0patch.com/2025/12/microsoft-silently-patched-cve-2025.html]