Windows-Editor: Details zur Markdown-Sicherheitslücke | heise online

Im Editor von Windows hat Microsoft am Februar-Patchday mit den Windows-Updates eine Sicherheitslücke in der Markdown-Verarbeitung geschlossen. Angreifer können durch das Leck Schadcode einschleusen. Jetzt gibt es detailliertere Informationen von Trend Micros Zero-Day-Initiative (ZDI), die zudem Admins Hilfestellung in Form von Filterregeln zum Abwehren von Angriffen liefert.

Die Analyse der Befehlsschmuggel-Lücke im Windows-Editor haben die IT-Forscher im Blog der ZDI veröffentlicht. Sie erklären dort, dass die Sicherheitslücke im Windows-Editor (notepad.exe) beim Verarbeiten von Markdown-Dateien auftritt und auf unzureichender Filterung von Links beruht. Angreifer können die Schwachstelle missbrauchen, indem sie potenzielle Opfer dazu bringen, eine bösartig manipulierte Datei herunterzuladen, sie zu öffnen und auf einen präparierten Link darin zu klicken. Ein erfolgreicher Angriff kann zur Ausführung von beliebigen Befehlen im Kontext des Opfer-Kontos führen (CVE-2026-20841, CVSS 7.8, Risiko „hoch“). Noch gibt es jedoch keine Hinweise auf aktive Exploits.

Sicherheitslücke im Standard-Text-Editor

Die ZDI-Mitarbeiter führen aus, dass der Standard-Windows-Editor notepad.exe bis vor Kurzem lediglich rudimentäre Editierfähigkeiten umfasste. In modernen Windows-Versionen kommt jedoch eine verbesserte und erweiterte Version des Editors standardmäßig mit. Die neue Version unterstützt mehr Dateiformate, Markdown-Beschreibungen und Copilot-Funktionen. Markdown erlaubt die Formatierung von Texten und unter anderem das Einbetten von Links, etwa in der Form [link-name](link/path). Die Trend-Micro-Forscher stellen die Schwachstelle bei der Verarbeitung bis auf Code-Ebene in ihrer Analyse dar.

Bei der Verarbeitung von Markdown kann der Editor auf das Klicken von Links reagieren. Dabei filtert er die Link-Werte und reicht sie an den Systemaufruf ShellExecuteExW() weiter. Diese Filterung reicht jedoch nicht aus, sie erlaubt die Nutzung von Protokoll-URIs wie „file://“ oder „ms-appinstaller://“. Damit lassen sich beim Aufruf von ShellExecuteExW() beliebige Dateien starten, die im Kontext des Opfers laufen. Je nach Systemkonfiguration können weitere Protokoll-Handler derartig missbrauchbar sein.

Angriffe erkennen und abwehren

Die IT-Forscher empfehlen daher, den Traffic auf bestimmten Ports genauer zu untersuchen und zu filtern: FTP (Port 20 und 21/TCP), HTTP (Port 80/TCP), HTTPS (Port 443/TCP), IMAP (Port 143/TCP), NFS (Ports 111/UDP+TCP, 2049/UDP+TCP), POP3 (Port 110/TCP), SMTP (Ports 25+587/TCP) sowie SMB/CIFS (Ports 139+445/TCP). Dabei sollte der Traffic nach Markdown-Dateien mit der Dateiendung .md untersucht werden. Bei Erkennung derartiger Dateien empfiehlt ZDI, den Inhalt auf Links mit Zeichenketten wie „file:“ oder „ms-appinstaller:“ zu durchforsten. Sind diese enthalten, stellen die IT-Forscher noch Regular Expressions bereit, mit denen sich Verweise auf Inhalte aus dem Netz aufspüren lassen: (\x3C|\[[^\x5d]+\]\()file:(\x2f|\x5c\x5c){4} für den file:-URI-Handler sowie (\x3C|\[[^\x5d]+\]\()ms-appinstaller:(\x2f|\x5c\x5c){2} für den ms-appinstaller:-URI-Handler. Treffer mit diesen Regeln sollten als bösartig eingestuft werden.

Nicht nur der Windows-Editor ist von Schwachstellen betroffen. So hat der populäre Texteditor Notepad++ jüngst mit einem Sicherheitsupdate eine Codeschmuggel-Lücke geschlossen.

(dmk)