IT-Sicherheitsforscher haben eine besonders tückische Sicherheitslücke in Windows entdeckt, die auch in aktuellen Versionen noch relevant ist. Über manipulierte Einstellungs-Links können Angreifer das System kompromittieren – ohne dass Nutzer eine Warnung erhalten.
Der Sicherheitsexperte Matt Nelson stieß bei seinen Recherchen auf ein weitgehend unbekanntes Windows-Dateiformat: .SettingContent-ms. Diese Dateien dienen eigentlich dazu, direkte Verknüpfungen zu bestimmten Windows-Einstellungen zu erstellen. Was harmlos klingt, birgt jedoch erhebliche Sicherheitsrisiken.
Gefährliches XML-Format mit versteckten Funktionen
Eine .SettingContent-ms-Datei ist im Kern eine XML-Datei, die Pfade zu Programmen und Einstellungen enthält. Das Problem liegt in der „DeepLink“-Option: Diese gibt den Speicherort auf der Festplatte an, der beim Öffnen der entsprechenden Einstellungsseite aufgerufen wird.
Nelson entdeckte, dass mit DeepLink praktisch alles geöffnet werden kann – von der Eingabeaufforderung (CMD.EXE) über PowerShell bis hin zu kompletten Befehlsketten. Damit existiert ein Dateityp, der die Ausführung beliebiger Shell-Befehle erlaubt, ohne dem Nutzer Warnungen oder Sicherheitsdialoge anzuzeigen.
Aktuelle Bedrohungslage
Trotz der ursprünglichen Entdeckung 2018 ist diese Angriffsmethode weiterhin relevant. Microsoft hat zwar verschiedene Schutzmaßnahmen implementiert, aber das grundsätzliche Problem besteht fort. Cyberkriminelle nutzen solche Techniken verstärkt für gezielte Angriffe:
- Phishing-Kampagnen: .SettingContent-ms-Dateien werden per E-Mail versendet
- Drive-by-Downloads: Automatischer Download beim Besuch manipulierter Websites
- Social Engineering: Tarnung als legitime Systemdateien oder Updates
So funktioniert der Angriff
Angreifer erstellen eine scheinbar harmlose .SettingContent-ms-Datei und tarnen sie beispielsweise als „Systemoptimierung“ oder „wichtiges Update“. Klickt der Nutzer darauf, öffnet sich nicht wie erwartet eine Einstellungsseite, sondern es werden im Hintergrund schädliche Befehle ausgeführt.
Besonders perfide: Windows zeigt diese Dateien standardmäßig mit dem vertrauenerweckenden Einstellungen-Symbol an. Viele Nutzer erkennen nicht, dass es sich um eine potenzielle Bedrohung handelt.
Moderne Schutzmaßnahmen
Aktuelle Windows-Versionen und Sicherheitslösungen haben ihre Erkennungsraten verbessert:
Windows Defender: Erkennt mittlerweile viele manipulierte .SettingContent-ms-Dateien
SmartScreen: Warnt vor Downloads aus unbekannten Quellen
PowerShell Execution Policy: Erschwert die Ausführung von Skripten
Attack Surface Reduction: Reduziert verfügbare Angriffsvektoren
Trotzdem solltet ihr nicht allein auf diese Schutzmaßnahmen vertrauen.
Praktische Schutz-Tipps
- Dateierweiterungen einblenden: Aktiviert die Anzeige von Dateierweiterungen im Explorer, um .SettingContent-ms-Dateien zu erkennen
-
Vorsicht bei E-Mail-Anhängen: Öffnet keine Anhänge von unbekannten Absendern, auch wenn sie harmlos aussehen
-
Downloads prüfen: Ladet Software nur von vertrauenswürdigen Quellen herunter
-
Benutzerkontensteuerung: Lasst die UAC (User Account Control) aktiviert – sie bietet zusätzlichen Schutz
-
Backup-Strategie: Regelmäßige Backups helfen bei der Schadensbegrenzung
Für IT-Administratoren
In Unternehmensumgebungen könnt ihr zusätzliche Schutzmaßnahmen ergreifen:
- Gruppenrichtlinien: Beschränkt die Ausführung bestimmter Dateitypen
- Application Whitelisting: Erlaubt nur genehmigte Anwendungen
- Netzwerk-Monitoring: Überwacht verdächtige Aktivitäten
- Mitarbeiterschulungen: Sensibilisiert für Social-Engineering-Angriffe
Fazit
Die .SettingContent-ms-Problematik zeigt exemplarisch, wie scheinbar harmlose Windows-Features zu Sicherheitsrisiken werden können. Obwohl Microsoft nachgebessert hat, bleibt Wachsamkeit das wichtigste Schutzinstrument.
Achtet darauf, was ihr anklickt und öffnet. Wenn eine Datei oder ein Link verdächtig erscheint, ist Skepsis angebracht. Im Zweifelsfall lieber einmal zu viel nachfragen als das System zu kompromittieren.
Zuletzt aktualisiert am 09.03.2026
