Microsoft stoppt Vorschau-Funktion für heruntergeladene Dateien
Microsoft deaktiviert die Vorschau-Funktion für Internet-Downloads, um NTLM-Angriffe zu verhindern. Die Maßnahme schützt vor unbemerktem Diebstahl von Zugangsdaten durch Cyberkriminelle.
Microsoft schließt eine gefährliche Sicherheitslücke im Windows Explorer. Ab sofort zeigt die Vorschau-Funktion keine Inhalte von aus dem Internet heruntergeladenen Dateien mehr an – eine drastische Maßnahme gegen Credential-Diebstahl.
Der Software-Riese aus Redmond nimmt den Kampf gegen Cyberkriminelle ernst: Mit dem jüngsten Sicherheitsupdate deaktiviert Microsoft automatisch eine der beliebtesten Funktionen des Windows Explorers. Seit dem 14. Oktober 2025 verweigert die Vorschau-Funktion ihren Dienst bei allen Dateien, die aus dem Internet stammen.
Was zunächst wie eine drastische Einschränkung wirkt, entpuppt sich als cleverer Schachzug. Angreifer nutzten die Vorschau-Funktion gezielt aus, um NTLM-Authentifizierungsdaten zu stehlen – und das völlig ohne Wissen der Nutzer.
Die versteckte Gefahr im Explorer
Wie funktioniert der Angriff? Cyberkriminelle verstecken in harmlosen Dokumenten bösartige HTML-Tags wie <link> oder <src>, die auf ihre eigenen Server verweisen. Sobald ein Nutzer die Datei zur Vorschau anklickt – ohne sie zu öffnen – verbindet sich der Windows Explorer automatisch mit dem Angreifer-Server und überträgt dabei den NTLM-Hash des Nutzers.
Diese kryptografische Signatur des Passworts können Hacker anschließend knacken oder direkt für weitere Angriffe nutzen. Besonders perfide: Der Nutzer muss kein Programm ausführen oder Makros aktivieren. Ein einfacher Klick zur Vorschau genügte.
Das macht diese Angriffsmethode zu einem bevorzugten Werkzeug in Phishing-Kampagnen gegen Regierungen und Unternehmen. Microsoft reagiert damit auf eine Schwachstelle, die bereits aktiv ausgenutzt wurde.
Anzeige: Apropos Phishing und gestohlene Zugangsdaten: Viele Angriffe treffen heute direkt das Smartphone. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen, mit denen Sie Ihr Android‑Gerät ohne teure Zusatz‑Apps absichern – inklusive Schritt‑für‑Schritt‑Anleitungen für WhatsApp, Online‑Banking und PayPal. Jetzt das kostenlose Android‑Sicherheitspaket sichern
“Mark of the Web” als digitaler Bodyguard
Microsofts Lösung nutzt eine bewährte Windows-Funktion: das “Mark of the Web” (MotW). Jede Datei aus unsicheren Quellen – Browser-Downloads, E-Mail-Anhänge oder Netzwerk-Freigaben – erhält automatisch dieses digitale Etikett.
Der Windows Explorer prüft nun vor jeder Vorschau auf dieses Merkmal. Findet er es, erscheint statt des Datei-Inhalts eine klare Warnung: “Die Datei, die Sie in der Vorschau anzeigen möchten, könnte Ihren Computer beschädigen.”
Lokale Dateien und vertrauenswürdige Netzwerk-Freigaben bleiben von der Einschränkung verschont. Microsofts Botschaft ist eindeutig: Sicherheit vor Komfort.
Nutzerfreundlichkeit trifft auf Realität
Die neue Vorsichtsmaßnahme sorgt bei vielen Anwendern für Verwirrung. Wer täglich hunderte Dokumente aus externen Quellen bearbeitet, muss seinen Arbeitsablauf anpassen.
Microsoft bietet jedoch einen Ausweg: Per Rechtsklick auf “Eigenschaften” und dem “Freigeben”-Button lässt sich das MotW-Attribut entfernen. Erst dann funktioniert die Vorschau wieder. IT-Administratoren können ganze Netzwerk-Freigaben als vertrauenswürdig einstufen.
Das Fazit der Sicherheitsexperten: Lieber einen Moment mehr Aufwand als gestohlene Zugangsdaten. In der modernen Bedrohungslandschaft zahlt sich diese Vorsicht aus – auch wenn sie zunächst unbequem erscheint.
