LNK-Dateisicherheitsrisiken in Windows verstehen und Tipps zum Schutz

Cyberkriminelle nutzen LNK-Dateien weiterhin für Malware-Angriffe aus und profitieren dabei von einer grundlegenden Sicherheitslücke, die schädliche Inhalte vor den Nutzern verbirgt. Da Microsoft diese Sicherheitslücke noch nicht behoben hat, ist beim Umgang mit LNK-Dateien besondere Vorsicht geboten. Dieser Leitfaden bietet wichtige Schritte zum Schutz vor potenziellem Missbrauch dieser Dateitypen.

LNK-Dateien verstehen: Die von ihnen ausgehenden Risiken

LNK-Dateien, die häufig als Verknüpfungen im Windows-Betriebssystem erstellt werden, tragen die Dateiendung.lnk. Möglicherweise kennen Sie das Erstellen solcher Desktop-Verknüpfungen oder das Zulassen der Erstellung durch Anwendungen; es ist jedoch wichtig zu wissen, dass Windows die Dateiendung.lnk ausblendet und durch ein markantes Pfeilsymbol ersetzt.

Diese Verknüpfungen führen Benutzer zwar zur gewünschten Datei oder Anwendung, bergen aber eine beunruhigende Gefahr: Ihr Zielfeld kann manipuliert werden, um Befehlszeilenanweisungen einzufügen. Diese Funktion ermöglicht es Cyberkriminellen, schädliche Skripte auszuführen, die häufig bei dateilosen Angriffen, wie sie beispielsweise von Malware wie Astaroth eingesetzt werden, verwendet werden.

Besonders gefährlich ist, dass Angreifer Schadcode durch übermäßige Verwendung von Leerzeichen im Zielfeld verschleiern können. Dadurch sehen Benutzer möglicherweise nur eine harmlose Zieladresse, während im Hintergrund schädliche Anweisungen ausgeführt werden. Diese Sicherheitslücke ist unter der ID CVE-2025-9491 bekannt.

Typischerweise ist eine betrügerische.lnk-Datei in einem Archiv versteckt und trägt einen irreführenden Namen wie „Instructions.pdf.ink“.Da Windows die Dateiendung nicht anzeigt, könnten Benutzer sie fälschlicherweise für „Instructions.pdf“ halten und beim Öffnen unwissentlich den Angriff auslösen.

Aufdecken von LNK-Dateierweiterungen in Windows

Die erste Verteidigungslinie gegen solche Bedrohungen besteht darin, LNK-Dateien als Verknüpfungen und nicht als echte Dateien zu erkennen. Da LNK-Dateien für die Verwendung in einer lokalen oder vernetzten Umgebung konzipiert sind, handelt es sich bei jeder unaufgeforderten LNK-Datei von externen Quellen höchstwahrscheinlich um einen Phishing-Versuch.

Um die Identifizierung von LNK-Dateien zu verbessern, können Sie Windows so konfigurieren, dass die Dateiendung „.lnk“ angezeigt wird. Dies erfordert eine Änderung in der Registrierung, da die Standardeinstellung zum Anzeigen von Dateinamenerweiterungen für.lnk-Dateien nicht gilt. Aktivieren Sie zunächst die Option „Dateinamenerweiterungen anzeigen“ in den Systemeinstellungen und nehmen Sie anschließend die folgende Änderung in der Registrierung vor:

Wichtig: Erstellen Sie vor jeglichen Änderungen eine Sicherungskopie Ihrer Registrierung. Falsche Änderungen können zu Systeminstabilität oder Datenverlust führen.

Greifen Sie auf die Registry zu und navigieren Sie zu:

HKEY_CLASSES_ROOT\lnkfile

Dort angekommen, suchen Sie die NeverShowExtbetreffende Zeichenfolge und löschen Sie sie. Starten Sie Ihren PC neu, damit die Änderungen wirksam werden. Anschließend haben alle Verknüpfungen die Dateiendung.lnk. Seien Sie vorsichtig und öffnen Sie keine Dateien, die sich als.ink-Dateien ausgeben.

Löschen von Registrierungszeichenfolgen in Windows

Analyse von LNK-Dateien im Hinblick auf die Sicherheit

Sollten Sie auf eine verdächtige LNK-Datei stoßen, empfiehlt sich eine genaue Prüfung des Zielfelds. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie „ Eigenschaften“. Untersuchen Sie im Register „Verknüpfung“ das Feld „Ziel“ sorgfältig.

LNK-Datei-Zielfeld mit Anzeige des Speicherorts der Nvidia-App

Eine legitime Verknüpfung sollte den genauen Pfad zur ausführbaren Datei in Anführungszeichen anzeigen. Führt der Pfad zu Befehlszeilenprogrammen wie cmd.exe, powershell.exe oder mshta.exe, kann dies auf böswillige Absicht hindeuten. Auch das Vorhandensein zufälliger Zeichen oder Binärsequenzen am Ende der Zeichenkette kann auf kriminelle Aktivitäten schließen lassen.

Automatische Wiedergabe und Dateivorschau deaktivieren

Historisch gesehen waren die Windows-Autoplay-Funktionen für USB-Laufwerke und die Dateivorschau im Datei-Explorer anfällig für Angriffe über LNK-Dateien. Obwohl Microsoft die Sicherheitsmaßnahmen verbessert hat, stellen diese Funktionen weiterhin ein Risiko dar. Wenn sie für Ihren Arbeitsablauf nicht unbedingt erforderlich sind, sollten Sie sie aus Sicherheitsgründen deaktivieren.

Um die automatische Wiedergabe zu deaktivieren, gehen Sie zu Windows-Einstellungen → Bluetooth & Geräte → Automatische Wiedergabe und schalten Sie den Schalter aus. Informationen zum Verwalten der Dateivorschau-Einstellungen finden Sie in unserem ausführlichen Leitfaden.

Deaktivieren der automatischen Wiedergabe in den Windows-Einstellungen

Aktivierung des kontrollierten Ordnerzugriffs

Der kontrollierte Ordnerzugriff ist eine Windows-Funktion, die wichtige Ordner wie Dokumente, Bilder und Desktop vor unberechtigten Änderungen, insbesondere durch Ransomware-Angriffe, schützt. Da viele LNK-Dateiangriffe diese Verzeichnisse für schädliche Aktionen ins Visier nehmen, bietet die Aktivierung dieser Funktion eine entscheidende zusätzliche Sicherheitsebene. Ausführliche Anweisungen zur Aktivierung finden Sie in unserem Leitfaden.

Stärkung der PowerShell-Sicherheit

LNK-Datei-Angriffe nutzen häufig PowerShell-Befehle, um schädliche Aktionen auszuführen. Um dieses Risiko zu minimieren, sollten Sie PowerShell-Operationen auf signierte Skripte beschränken. Geben Sie „powershell“ in die Windows-Suchleiste ein, klicken Sie mit der rechten Maustaste auf die Anwendung und wählen Sie „ Als Administrator ausführen “.Geben Sie den folgenden Befehl ein und bestätigen Sie die Änderung mit „y“.

Set-ExecutionPolicy AllSigned

Beachten Sie, dass diese Einstellung Arbeitsabläufe beeinträchtigen kann, die auf benutzerdefinierten PowerShell-Skripten basieren, insbesondere in Unternehmensumgebungen. Um diese Änderung rückgängig zu machen, verwenden Sie:

Set-ExecutionPolicy Undefined

Zusätzlich finden Sie in unserem Leitfaden weitere Tipps zur Absicherung von PowerShell.

Eine wichtige Faustregel: Öffnen Sie LNK-Dateien nur, wenn Sie sie selbst erstellt oder deren Erstellung über eine vertrauenswürdige Anwendung autorisiert haben. Dies gilt insbesondere für Dateien, die aus dem Internet heruntergeladen wurden. Nutzen Sie stets die Windows-Sicherheitsfunktionen für maximalen Schutz, insbesondere wenn einige deaktiviert wurden.

Mehr erfahren und Bilder ansehen