Eine Zero-Day-Lücke bei der Anzeige von LNK-Dateien in Windows wurde Ende August dieses Jahres bekannt. Microsoft plant bislang keine Korrektur und stuft sie anders als die Zero Day Initiative (ZDI) von Trend Micro nicht als hochriskant ein. Das IT-Sicherheitsunternehmen Arctic Wolf hat Angriffe gegen europäische Diplomaten unter Missbrauch dieser Schwachstelle beobachtet.

In einer Analyse von Arctic Wolf schreiben die IT-Forscher, dass die mit China in Verbindung stehende Cybergruppierung UNC6384 eine aktive Spionagekampagne gegen europäische Diplomaten und diplomatische Einrichtungen etwa in Belgien, Italien, den Niederlanden, Serbien und Ungarn sowie die weitere europäische diplomatische Gemeinschaft ausgeführt hat. Die Kampagne nutzt die LNK-Anzeigeschwachstelle in Windows aus und lief im September und Oktober dieses Jahres. Zudem setzen die Angreifer auf angepasstes Social Engineering.

Die Angriffskette fängt mit Spearphishing-E-Mails an, die eine URL enthalten, die die erste von mehreren Stufen darstellt. Am Ende münden die in der Auslieferung einer bösartigen LNK-Datei, die sich namentlich um Themen von Treffen der EU-Kommission, Workshops mit NATO-Bezug und multilateralen diplomatischen Koordinierungs-Events drehen.

LNK-Dateien führen zu Malware-Installation

„Diese Dateien nutzen die kürzlich bekannt gewordene Windows-Sicherheitslücke aus, um verschleierte PowerShell-Befehle auszuführen. Die entpacken und verteilen eine mehrstufige Malware-Kette, was schließlich zur Verteilung des PlugX-Remote-Access-Trojaners (RAT) durch DLL-Side-Loading legitimer, signierter Canon-Druckerassistenzprogramme führt“, erklären die IT-Forscher von Arctic Wolf.

Die von Microsoft nicht als behebenswert eingestufte Schwachstelle wird also aktiv in Angriffen von Kriminellen missbraucht. Als Gegenmaßnahme steht daher kein Patch von Microsoft zur Verfügung. Arctic Wolf empfiehlt unter anderem, die Nutzung von .lnk-Dateien aus fragwürdigen Quellen zu blockieren und zu beschränken. Dazu sei die Deaktivierung der automatischen Auflösung im Windows Explorer geeignet. Das sollte auf allen Windows-Endpoints umgesetzt werden. Wie das am einfachsten gelingt, ob es etwa eine Gruppenrichtlinie dafür gibt, erörtert Arctic Wolf hingegen nicht konkreter.

Die IT-Forscher nennen noch einige Indizien für Infektionen (Indicators of Compromise, IOCs), nach denen Admins suchen können. Dazu gehören einige URLs der Command-and-Control-Infrastruktur. Außerdem könne die Suche nach Canon-Drucker-Assistent-Utilities, im Speziellen der Datei „cnmpaui.exe“, an ungewöhnlichen Orten wie den AppData-Verzeichnissen der User Hinweise liefern.

Möglicherweise führt der Missbrauch der Schwachstelle im Internet dazu, dass Microsoft seine erste Einordnung korrigiert. Dann könnte das Unternehmen die Sicherheitslücke schließen und dem gegebenen Versprechen entsprechen, IT-Sicherheit als oberste Priorität zu setzen. Derzeit sieht das jedoch eher nach „Security-Theater“ aus.

(dmk)

Die Monitoring-Softwares IBM Tivoli Monitoring und Nagios XI sind über mehrere Sicherheitslücken angreifbar. Im schlimmsten Fall können Angreifer Systeme vollständig kompromittieren. Für Nagios XI steht ein Patch zum Schließen der Schwachstellen zum Download bereit. Bei IBM Tivoli Monitoring müssen Admins Hand anlegen.

Mit beiden Tools überwachen Admins IT-Infrastrukturen. Bislang sind noch keine Berichte zu Attacken bekannt. Trotzdem sollten Admins ihre Instanzen zeitnah absichern.

Dateien manipulierbar

In einer Warnmeldung führen IBMs Entwickler aus, dass entfernte Angreifer mit präparierten URLs an zwei Sicherheitslücken (CVE-2025-3356 „hoch„, CVE-2025-3355 „hoch„) ansetzen können. Ist eine solche Attacke erfolgreich, können sie im System Dateien einsehen und sogar überschreiben.

Die Schwachstellen stecken konkret in der KT1-Komponente der ITM/ITCAM-Agenten. Dagegen gibt es keinen Patch. Um das Sicherheitsproblem zu lösen, müssen Admins Systeme so umstellen, dass in diesem Kontext ausschließlich TLS-Verbindungen genutzt werden. Wie das geht, steht in einem Supportbeitrag.

Kritische Sicherheitslücken

Die reparierte Nagios-XI-Version 2026R1 ist schon seit Ende September dieses Jahres verfügbar. Weiterführende Informationen zu den darin geschlossenen Sicherheitslücken wurden aber erst jetzt in der National Vulnerability Database veröffentlicht.

Drei Sicherheitslücken (CVE-2025-34286, CVE-2025-34284, CVE-2025-34134) sind mit dem Bedrohungsgrad „kritisch“ eingestuft. Aufgrund von unzureichenden Überprüfungen können entfernte Angreifer Schadcode ausführen. Dafür müssen sie aber bereits authentifiziert sein.

Setzen Angreifer erfolgreich an den verbleibenden Schwachstellen an, können sie sich unter anderem höhere Nutzerrechte verschaffen.

Vergangene Woche sorgte eine Sicherheitslücke in der Monitoring-Software Checkmk für Schlagzeilen.

(des)

Die US-amerikanische Cybersicherheitsbehörde CISA warnt vor beobachteten Angriffen auf Sicherheitslücken in VMware Aria Operations und VMware Tools von Broadcom sowie XWiki. Die Hersteller stellen Softwareupdates bereit, die die im Internet attackierten Schwachstellen ausbessern.

Die CISA gibt lediglich die Schwachstelleneinträge zu den gemeldeten Angriffen an. Jedwede Informationen zu Art und Umfang der Angriffe oder gar hilfreiche Hinweise wie Indizien für Angriffe (Indicators of Compromise, IOCs) liefert sie leider nicht.

VMware-Angriffe

Die in VMware Aria Operations und VMware Tools missbrauchte Sicherheitslücke hat Broadcom Ende September in einer Sicherheitsmitteilung behandelt und aktualisierte Software bereitgestellt. Die Software enthält eine Schwachstelle, die die Ausweitung der Rechte ermöglicht. „Lokale nicht-administrative User mit Zugriff auf eine VM, in der VMware Tools installiert sind und die mittels VMware Aria Operations mit aktiviertem SDMP verwaltet wird, können die Sicherheitslücke zum Ausweiten ihrer Rechte zu ‚root‘ in derselben VM missbrauchen“, erklärt der Schwachstelleneintrag (CVE-2025-41244 / EUVD-2025-31589, CVSS 7.8, Risiko „hoch„). Die Lücke schließen VMware Cloud Foundation Operations 9.0.1.0, VMware Tools 13.0.5 und 12.5.4 und VMware Aria Operations 8.18.5 sowie neuere.

Außerdem laufen Angriffe auf eine kritische Sicherheitslücke in der Wiki-Plattform XWiki. Jeder Gastzugang kann durch eine Suche mit ‚SolrSearch‘ beliebigen Schadcode einschleusen und ausführen. Ohne vorheriges Log-in können Angreifer ganze XWiki-Instanzen kompromittieren (CVE-2025-24893 / EUVD-2025-4562, CVSS 9.8, Risiko „kritisch„). Die Schwachstelle haben die Entwickler in XWiki 15.10.11, 16.4.1 sowie 16.5.0RC1 und neueren Fassungen ausgebessert.

IT-Verantwortliche sollten die bereitstehenden Aktualisierungen so rasch wie möglich installieren.

In der vergangenen Woche hatte die CISA bereits Angriffe auf das Manufacturing-Operations-Management-Software (MOM) und Manufacturing-Execution-System (MES) Delmia Apriso von Dassault Systèmes gemeldet. Informationen zu gepatchten Versionen befinden sich jedoch lediglich hinter einer Zugangsschranke für Kunden.

(dmk)