Eine Zero-Day-Lücke bei der Anzeige von LNK-Dateien in Windows wurde Ende August dieses Jahres bekannt. Microsoft plant bislang keine Korrektur und stuft sie anders als die Zero Day Initiative (ZDI) von Trend Micro nicht als hochriskant ein. Das IT-Sicherheitsunternehmen Arctic Wolf hat Angriffe gegen europäische Diplomaten unter Missbrauch dieser Schwachstelle beobachtet.

In einer Analyse von Arctic Wolf schreiben die IT-Forscher, dass die mit China in Verbindung stehende Cybergruppierung UNC6384 eine aktive Spionagekampagne gegen europäische Diplomaten und diplomatische Einrichtungen etwa in Belgien, Italien, den Niederlanden, Serbien und Ungarn sowie die weitere europäische diplomatische Gemeinschaft ausgeführt hat. Die Kampagne nutzt die LNK-Anzeigeschwachstelle in Windows aus und lief im September und Oktober dieses Jahres. Zudem setzen die Angreifer auf angepasstes Social Engineering.

Die Angriffskette fängt mit Spearphishing-E-Mails an, die eine URL enthalten, die die erste von mehreren Stufen darstellt. Am Ende münden die in der Auslieferung einer bösartigen LNK-Datei, die sich namentlich um Themen von Treffen der EU-Kommission, Workshops mit NATO-Bezug und multilateralen diplomatischen Koordinierungs-Events drehen.

LNK-Dateien führen zu Malware-Installation

„Diese Dateien nutzen die kürzlich bekannt gewordene Windows-Sicherheitslücke aus, um verschleierte PowerShell-Befehle auszuführen. Die entpacken und verteilen eine mehrstufige Malware-Kette, was schließlich zur Verteilung des PlugX-Remote-Access-Trojaners (RAT) durch DLL-Side-Loading legitimer, signierter Canon-Druckerassistenzprogramme führt“, erklären die IT-Forscher von Arctic Wolf.

Die von Microsoft nicht als behebenswert eingestufte Schwachstelle wird also aktiv in Angriffen von Kriminellen missbraucht. Als Gegenmaßnahme steht daher kein Patch von Microsoft zur Verfügung. Arctic Wolf empfiehlt unter anderem, die Nutzung von .lnk-Dateien aus fragwürdigen Quellen zu blockieren und zu beschränken. Dazu sei die Deaktivierung der automatischen Auflösung im Windows Explorer geeignet. Das sollte auf allen Windows-Endpoints umgesetzt werden. Wie das am einfachsten gelingt, ob es etwa eine Gruppenrichtlinie dafür gibt, erörtert Arctic Wolf hingegen nicht konkreter.

Die IT-Forscher nennen noch einige Indizien für Infektionen (Indicators of Compromise, IOCs), nach denen Admins suchen können. Dazu gehören einige URLs der Command-and-Control-Infrastruktur. Außerdem könne die Suche nach Canon-Drucker-Assistent-Utilities, im Speziellen der Datei „cnmpaui.exe“, an ungewöhnlichen Orten wie den AppData-Verzeichnissen der User Hinweise liefern.

Möglicherweise führt der Missbrauch der Schwachstelle im Internet dazu, dass Microsoft seine erste Einordnung korrigiert. Dann könnte das Unternehmen die Sicherheitslücke schließen und dem gegebenen Versprechen entsprechen, IT-Sicherheit als oberste Priorität zu setzen. Derzeit sieht das jedoch eher nach „Security-Theater“ aus.

(dmk)

Das Landgericht Bielefeld hat in einem Betrugsfall einer Bankkundin, die per SMS auf eine gefälschte Website gelockt wurde, die engen Grenzen des Versicherungsschutzes bei digitalen Betrugsmaschen verdeutlicht. Im Kern geht es darum, dass eine Hausratversicherung mit „Internetzschutz“, die explizit das Phishing durch gefälschte E-Mails abdeckt, keine Schäden reguliert, die durch SMS-Phishing entstehen. Das geht aus einem Hinweisbeschluss der Bielefelder Richter vom 25. September hervor (Az.: 22 S 81/25), über den der IT-Rechtler Jens Ferner und Beck Aktuell berichten.

Die Volksbank-Kundin hatte eine täuschend echte SMS erhalten, die sie zur Verlängerung der Registrierung ihrer App fürs Online-Banking, der Anwendung VR-SecureGO Plus, aufforderte und sie auf eine gefälschte Login-Seite weiterleitete. Dort gab die Betroffene ihre Zugangsdaten ein und autorisierte so über ihre Legitimations-App unwissentlich die Erstellung einer digitalen Girocard durch die Betrüger, die diese anschließend für Einkäufe in Höhe von fast 5000 Euro nutzten.

Nachdem die Bank eine Erstattung wegen grober Fahrlässigkeit abgelehnt hatte, scheiterte die Klage gegen die Versicherung nicht nur vor dem Amtsgericht Halle/Westfalen. Auch die Berufung vor dem Landgericht ist laut dessen Beschluss aussichtslos, da sie „offensichtlich keine Aussicht auf Erfolg“ habe.

Eine SMS ist keine E-Mail

Den Bielefelder Richtern zufolge differenzieren die Allgemeinen Versicherungsbedingungen (AVB) der Police, die den Schutz regeln, klar zwischen SMS und E-Mail. Demnach ist eine mobile Kurznachricht „keinesfalls gleichartig“ zu einer E-Mail. Das Landgericht betont, dass SMS im Gegensatz zu E-Mails durch ihren Textumfang begrenzt seien und vor allem die Absenderadresse bei einer E-Post Rückschlüsse auf den Absender zulasse. Eine Rufnummer biete diese Möglichkeit bei der SMS nicht.

Die Argumentation der Kundin, „E-Mail“ sei als Oberbegriff für elektronische Nachrichten zu verstehen, wies die höhere Instanz zurück. Vielmehr fungiere „elektronische Nachricht“ als Oberbegriff für E-Mails, SMS und Messenger-Nachrichten. Damit habe der klare Wortlaut der Bedingungen einen Phishing-Angriff, der per SMS begann, vom Versicherungsschutz ausgeschlossen.

Zudem scheiterte die Klägerin mit dem Versuch, den Vorfall unter den versicherten Begriff des Pharming zu fassen. Eine solche Manipulation der DNS-Anfragen von Webbrowsern setzt laut der 22. Zivilkammer des Landgerichts voraus, dass die Kundin oder der Kunde im Glauben an die Echtheit einer gefälschten Bank-Webseite einen unmittelbaren Zahlungsvorgang ausführen. Die klagende Kundin hatte aber lediglich das Erstellen einer digitalen Girocard autorisiert. Die späteren Schäden seien so nur mittelbar entstanden.

Das Kleingedruckte ist entscheidend

Auch technisch liegt dem Beschluss nach kein Pharming vor, da dabei der korrekte Aufruf einer Website etwa durch Beeinflussung der Hosts-Datei oder des DNS-Servers umgeleitet werde. Die Kundin sei hier aber durch einen verfälschten Link zur Weitergabe ihrer Daten verleitet worden, was technisch als Phishing zu werten sei.

Die Entscheidung des Landgerichts zeigt, wie eng die Versicherungsbedingungen ausgelegt werden und dass die Versicherer ihre Haftung durch präzise Definitionen der Betrugsmaschen begrenzen. Der Jurist Ferner sieht darin einen wichtigen Hinweis an Verbraucher: Mit dem Fall werde erneut deutlich, „wie wichtig es ist, die Versicherungsbedingungen genau zu lesen“. Viele Kunden gingen angesichts allgemeiner Beschreibungen wie „Internet-Schutz“ davon aus, dass ihre Police sie umfassend vor Betrug im digitalen Zahlungsverkehr schütze. Doch bereits kleine Unterschiede in der Art des Angriffs könnten darüber entscheiden, ob ein Schaden erstattet wird oder nicht.

Ferner zeigt sich damit ein großes Dilemma: Versicherte schließen einen einschlägigen Vertrag ab, um im Schadensfall eine Leistung zu erhalten. Die andere Seite lebe davon, nicht zu zahlen. Die Konsequenz sei, dass Versicherungsnehmer ihre Policen kritisch auf alle relevanten Angriffsvektoren prüfen und nicht nur auf deren Preis achten müssten. Ansonsten bestehe im Schadensfall möglicherweise keine Deckung. Generell fasste der Bundesgerichtshof die Möglichkeiten für Schadenersatz für Phishing-Opfer schon 2012 sehr eng.

(afl)

Die Monitoring-Softwares IBM Tivoli Monitoring und Nagios XI sind über mehrere Sicherheitslücken angreifbar. Im schlimmsten Fall können Angreifer Systeme vollständig kompromittieren. Für Nagios XI steht ein Patch zum Schließen der Schwachstellen zum Download bereit. Bei IBM Tivoli Monitoring müssen Admins Hand anlegen.

Mit beiden Tools überwachen Admins IT-Infrastrukturen. Bislang sind noch keine Berichte zu Attacken bekannt. Trotzdem sollten Admins ihre Instanzen zeitnah absichern.

Dateien manipulierbar

In einer Warnmeldung führen IBMs Entwickler aus, dass entfernte Angreifer mit präparierten URLs an zwei Sicherheitslücken (CVE-2025-3356 „hoch„, CVE-2025-3355 „hoch„) ansetzen können. Ist eine solche Attacke erfolgreich, können sie im System Dateien einsehen und sogar überschreiben.

Die Schwachstellen stecken konkret in der KT1-Komponente der ITM/ITCAM-Agenten. Dagegen gibt es keinen Patch. Um das Sicherheitsproblem zu lösen, müssen Admins Systeme so umstellen, dass in diesem Kontext ausschließlich TLS-Verbindungen genutzt werden. Wie das geht, steht in einem Supportbeitrag.

Kritische Sicherheitslücken

Die reparierte Nagios-XI-Version 2026R1 ist schon seit Ende September dieses Jahres verfügbar. Weiterführende Informationen zu den darin geschlossenen Sicherheitslücken wurden aber erst jetzt in der National Vulnerability Database veröffentlicht.

Drei Sicherheitslücken (CVE-2025-34286, CVE-2025-34284, CVE-2025-34134) sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Aufgrund von unzureichenden Überprüfungen können entfernte Angreifer Schadcode ausführen. Dafür müssen sie aber bereits authentifiziert sein.

Setzen Angreifer erfolgreich an den verbleibenden Schwachstellen an, können sie sich unter anderem höhere Nutzerrechte verschaffen.

Vergangene Woche sorgte eine Sicherheitslücke in der Monitoring-Software Checkmk für Schlagzeilen.

(des)