Seit Jahrzehnten ist der direkte Zugriff .lnk Teil des Windows-Ökosystems: Sie kamen mit Windows 95 an und seitdem ist ihr binäres Format in der Komplexität gewachsen. Diese Komplexität ist genau das, was ein niederländischer Sicherheitsforscher, Wietze Beukema, nutzte, um zu zeigen, dass diese Dateien zu anspruchsvollen Fallen für unvorbereitete Benutzer werden können.
In einer Präsentation auf Wild West Hackin 'Fest, Beukema detaillierte mehrere neue Techniken, die es ermöglichen, Shortcuts zu erstellen, die eine Sache im Windows Explorer-Eigenschaftsfenster zeigen, aber dass, indem sie sie starten eine völlig andere. Der Kern des Problems ist, dass eine .lnk-Datei mehrere optionale Strukturen enthalten kann, die die Zielroute beschreiben, und Windows Explorer nicht immer konsequent priorisiert oder validiert diese Felder. Das Ergebnis: Sie können direkten Zugriff, der zum Beispiel auf ein PDF zeigt, und das tatsächlich PowerShell oder andere schädliche Befehle ausführen.
Unter den beschriebenen Techniken sind Varianten, die untersagte Zeichen auf Windows-Routen - wie doppelte Zitate - nutzen, um Routen zu bauen, die für das bloße Auge gültig scheinen, aber technisch ungültig sind. Explorer, statt diese .lnk abzulehnen, präsentiert sie in einer konsiliatorischen Weise, zeigt die "false" Route, während der direkte Zugang führt die "reale" Route in einer anderen Struktur der Datei versteckt.
Eine der mächtigsten Techniken basiert auf der Manipulation der UmweltVariableDataBlock Struktur innerhalb der .lnk. Beukema fand heraus, dass es möglich ist, das Unicode-Feld leer zu lassen und nur die ANSI-Version des Ziels auszufüllen, ein unschuldiges Ziel auf der Schnittstelle - zum Beispiel "invoice.pdf" - zu zeigen, während der eigentliche Inhalt der EnvironmentVariableDataBlock schädliche Befehle oder ausführbare Befehle anruft. Darüber hinaus können in diesen Einstellungen die Kommandozeilenargumente versteckt werden, was noch mehr erschwert, dass ein Benutzer die Täuschung einfach durch Blick auf die Eigenschaften erkennt.
Beukema veröffentlichte eine technische Analyse mit Beispielen und Tests auf seinem Blog, wo er detailliert erklärt, wie diese Strukturen funktionieren und warum Explorer sich permissiv auf schlecht geformte LNK-Dateien verhält: Analyse von Wietze Beukema. Er veröffentlichte auch ein Open-Source-Tool namens lnk-it@-@-up, das es Ihnen ermöglicht, Shortcuts mit diesen Techniken zu generieren und zu vergleichen, was Explorer zeigt, was tatsächlich läuft, nützlich für Tests und Erkennung: Ink-it-up in GitHub.
Wenn Beukema Microsoft über das Problem im Zusammenhang mit EnvironmentVariableDataBlock (VULN-162145 Record) informierte, entschied das Unternehmen, es nicht als Sicherheitslücke in seinem MSRC einzustufen, argumentiert, dass seine Ausbeutung erfordert, dass der Benutzer freiwillig eine schädliche Datei ausführen und daher nicht die Sicherheitsgrenzen des Systems bricht. Diese Position wurde von Microsoft an verschiedene Medien kommuniziert, und das Unternehmen erinnerte daran, dass Windows warnt, wenn versucht, .lnk heruntergeladen aus dem Internet zu öffnen und dass Tools wie Microsoft Defender und Smart App Control Schutzschichten hinzufügen.
Die jüngste Geschichte zeigt jedoch, warum viele Forscher und Reaktionsteams sich um .lnk kümmern. Ein verwandter Fehler, der als CVE-2025-9491 identifiziert wurde, erlaubte auch Kommandozeilenargumente zu verbergen und wurde jahrelang in echten Angriffen ausgenutzt. Industrieberichte zeigten, dass mehrere Gruppen, darunter staatliche Akteure und kriminelle Banden, solche Schwächen genutzt haben, um Malware und Remote Access Trojans zu implementieren. Weitere Informationen über den Umfang dieser Betriebe finden Sie in der öffentlichen Sammlung CVE: CVE-2025-9491 in NVD und die Bedrohungsanalyse, die die Tätigkeit mehrerer Akteure dokumentiert: Trend Micro Bericht.
Angesichts der aktiven Ausbeutung von CVE-2025-9491 führte Microsoft im Juni 2025 Änderungen in der Verwaltung von .lnk ein, mit der Absicht, den Vektor zu mildern, der in realen Angriffen verwendet wurde. Die Position, die eine Technik "benötigt Benutzerinteraktion" erfordert, bleibt jedoch die offizielle Linie für die Einstufung der Schwerkraft, so dass Raum für Diskussionen über die Verpflichtung, wie das System zeigt und priorisiert Informationen im direkten Zugriff.
Für jeden Benutzer oder Sicherheitsbeauftragten gibt es mehrere praktische Punkte, die jetzt berücksichtigt werden sollten. Zunächst sollte .lnk als potenziell gefährliche Dateien betrachtet werden: Wenn sie aus unbekannten Quellen oder aus unerwarteten Nachrichten kommen, ist die sicherste Option, sie nicht zu öffnen. Zweitens reduzieren Erkennungslösungen und Umsetzungsrichtlinien (z.B. Smart App Control) das Risiko, beseitigen es aber nicht; Angreifer erfinden weiterhin Tricks, um Kontrollen zu umgehen. Schließlich können diejenigen, die Geräte oder Netzwerke verwalten, Werkzeuge wie die von Beukema erwähnt verwenden, um .lnk Verdächtige in ihrer Umgebung zu analysieren und zu erkennen, immer in kontrollierten Labors und nicht in Produktionssystemen.
Der Fall des direkten Zugriffs von .lnk ist eine gute Erinnerung, dass Angriffsvektoren nicht immer E-Mails mit .exe-Anhängen oder durch Makrodokumente durchlaufen: manchmal ist die Ausbeutung subtiler und nutzt die permissiven Verhaltensweisen des Betriebssystems selbst. Die Kombination von Social Engineering (überzeugen Sie jemanden zu klicken) und eine Lenient-Implementierung in der Software führt zu schwer zu erkennen Fallen in Sicht.
Wenn Sie die technischen Tests vertiefen und mit den Beispielen experimentieren möchten, überprüfen Sie das von Beukema veröffentlichte Material und verwenden Sie sein Werkzeug in einer isolierten Umgebung: Technischer Eingang und Repository. Um den historischen Kontext und Kampagnen zu verstehen, die ähnliche Fehler missbrauchten, liefern die in der NVD-Datenbank gesammelten Informationen und Berichte von Sicherheitsunternehmen wie Trend Micro konkrete Beispiele für die Ausbeutung: NVD und Analyse von Trend Micro.
Kurz gesagt, es ist keine schlechte Idee, die Sicherheitspraktiken in der Organisation zu überprüfen und die Benutzer daran zu erinnern, dass Systemwarnungen nicht bloße Formalitäten sind: viele erfolgreiche Kampagnen haben gewirkt, weil Menschen ohne zu denken klicken. Windows Shortcuts, jedoch unschuldig sie scheinen, bleiben ein nützlicher Vektor für Angreifer und verdienen Aufmerksamkeit von Sicherheitsteams und Endbenutzern.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...