Gefahr aus dem Grab: Microsoft verbuddelt IE noch tiefer

Der Internet Explorer ist noch immer nicht tot. Jedenfalls nicht richtig. Angreifer nutzen seit August 2025 aktiv Zero-Day-Schwachstellen in der veralteten Chakra-JavaScript-Engine aus. Jetzt hat Microsoft reagiert und den IE-Kompatibilitätsmodus in Edge grundlegend umgebaut. Wie das Edge-Sicherheitsteam mitteilt, kombinierten die Angreifer Social Engineering mit einer Exploit-Kette, um vollständige Kontrolle über Zielsysteme zu erlangen.

Der IE-Modus ermöglicht es Edge-Nutzern, Webseiten in der alten Internet-Explorer-Umgebung zu laden – gedacht für Legacy-Anwendungen, die auf veraltete Technologien wie ActiveX oder Flash angewiesen sind. Obwohl der Internet Explorer am 15. Juni 2022 offiziell sein Lebensende erreichte, bleibt der Kompatibilitätsmodus für Unternehmensanwendungen und Behördenportale verfügbar. Es ist nicht das erste Mal, dass Überreste des als Sicherheitsrisiko verrufenen Microsoft-Browsers zum Sicherheitsproblem werden.

In drei Schritten zur Systemübernahme

Die aktuelle Angriffskette begann mit gefälschten Webseiten, die legitime Dienste imitierten. Über ein Flyout-Element forderten die Angreifer ihre Opfer auf, die Seite im IE-Modus neu zu laden. Dort nutzten sie zunächst eine ungepatchte Schwachstelle in der Chakra-Engine für das Einschleusen und Ausführen von Schadcode (Remote Code Execution). Ein zweiter Exploit ermöglichte anschließend den Ausbruch aus dem Browser heraus, um das gesamte System zu kompromittieren (Privilege Escalation).

Microsoft hat dazu weder CVE-Nummern veröffentlicht noch einen expliziten Patch für die Chakra-Lücke bereitgestellt. Stattdessen entfernte das Unternehmen als Antwort auf die Angriffe kurzerhand alle einfachen Zugangswege zum IE-Modus: Die dedizierte Toolbar-Schaltfläche, der Kontextmenü-Eintrag und die Option im sogenannten Hamburger-Menü sind verschwunden. Ob das im September veröffentlichte Kumulative Update für IE die Sicherheitslücken selbst beseitigt, ist somit weiterhin unklar.

Umständlicher Weg als Sicherheitsmaßnahme

Wer den IE-Modus künftig nutzen möchte, muss ihn explizit in den Edge-Einstellungen unter edge://settings/defaultBrowser aktivieren und jede einzelne URL manuell zu einer Allowlist hinzufügen. Erst nach einem Browser-Neustart können die gelisteten Seiten im IE-Modus geladen werden. Microsoft setzt darauf, dass dieser umständliche Prozess Nutzern mehr Zeit gibt, gefälschte URLs zu erkennen und die Entscheidung bewusster zu treffen.

Für Unternehmenskunden mit zentral verwalteten IE-Modus-Richtlinien ändert sich nichts – sie können den Kompatibilitätsmodus weiterhin per Group Policy konfigurieren. Microsoft betont jedoch erneut, dass Organisationen ihre Migration von Legacy-Technologien beschleunigen sollten, um von den Sicherheitsarchitekturen moderner Browser zu profitieren. Wer Wert auf Sicherheit legt, lässt den IE abgeschaltet.

Die Entscheidung, als Reaktion auf akute Angriffe anstelle dezidierter Patches den Zugang zu beschränken, ist bemerkenswert. Offenbar hält selbst Microsoft Internet Explorer für nicht mehr wartbar und das Risiko weiterer Zero-Days für zu hoch. Dass ein offiziell seit fast drei Jahren totes Produkt noch immer als Angriffsvektor dient, illustriert das Dilemma der Abwärtskompatibilität: Was als Brücke für den Übergang gedacht war, wird zur dauerhaften Sollbruchstelle. Unternehmen, die 2025 noch auf ActiveX-Steuerelemente angewiesen sind, sollten diese Warnung als letzten Weckruf verstehen.

(ju)