Hacker nutzen den Internet Explorer-Modus von Microsoft Edge, um Zugriff auf die Geräte von Benutzern zu erhalten
Die Entwicklungen im Bereich der Cybersicherheit zeigen eine neue, ernst zu nehmende Gefahr: Angreifer haben einen ganz neuen Angriffsvektor entdeckt, der auf die Internet Explorer-Funktion von Microsoft Edge abzielt.
Diese ausgeklügelte Kampagne tauchte im August 2025 auf und nutzte die spezifischen Sicherheitslücken älterer Browsertechnologien aus, um die Geräte ahnungsloser Benutzer zu kompromittieren.
Der Angriff stellt eine bedeutende Weiterentwicklung der Taktiken von Angreifern dar und demonstriert ihre Fähigkeit, scheinbar harmlose Kompatibilitätsfunktionen als Waffen einzusetzen.
Die Angriffsmethode kombiniert Social Engineering mit Zero-Day-Exploits, die auf die Chakra-JavaScript-Engine von Internet Explorer abzielen. Cyberkriminelle leiten ihre Opfer zunächst auf manipulierte Webseiten weiter, die authentisch wirken und ein trügerisches Gefühl der Sicherheit vermitteln.
Sobald die Opfer diese betrügerischen Webseiten aufgerufen haben, zeigen die Angreifer eine strategisch platzierte Flyout-Benachrichtigung an, in der die Nutzer aufgefordert werden, die Seite im Internet Explorer-Modus neu zu laden. Dadurch werden sie effektiv aus der sicheren Chromium-basierten Umgebung von Edge in das anfällige Legacy-Framework von IE versetzt.
Dieser Übergang erweist sich als kritisch, da Internet Explorer nicht über die robuste Sicherheitsarchitektur und die tiefgreifenden Abwehrmaßnahmen verfügt, die in modernen Browsern vorhanden sind.
Die Legacy-Umgebung setzt Benutzer Risiken aus, die moderne Chromium-basierte Browser speziell verhindern sollen, und schafft so eine ideale Ausnutzungsmöglichkeit für böswillige Akteure.
Die Sicherheitsanalysten von Microsoft Edge identifizierten die Bedrohung, nachdem sie glaubwürdige Informationen über aktive Exploit-Kampagnen erhalten hatten.
Das Forschungsteam stellte fest, dass die Angreifer systematisch die Kompatibilitätsfunktion ins Visier nahmen, die zur Unterstützung älterer Geschäftsanwendungen, älterer Sicherheitskamera-Schnittstellen und Regierungsportale entwickelt wurde, die noch immer auf veraltete Technologien wie ActiveX und Flash setzen.
Ausnutzung der Chakra-Engine und Ausweitung von Berechtigungen
Die technische Raffinesse des Angriffs liegt in seinem mehrstufigen Exploit-Prozess, der auf die Chakra-JavaScript-Engine abzielt.
Nachdem sie die Opfer erfolgreich davon überzeugt haben, in den Internet Explorer-Modus zu wechseln, setzen die Angreifer unpatched Zero-Day-Exploits ein, die speziell für die JavaScript-Ausführungsumgebung von IE entwickelt wurden.
Die Chakra-Engine ist trotz der bisherigen Sicherheitsmaßnahmen von Microsoft weiterhin anfällig für Speicherbeschädigungsangriffe, die die Ausführung von Remote-Code ermöglichen.
Nach der erfolgreichen Codeausführung im Browserkontext implementieren die Angreifer einen zweiten Exploit, der für die Privilegienerweiterung entwickelt wurde.
Diese sekundäre Payload ermöglicht es den Angreifern, aus der Sandbox-Umgebung des Browsers auszubrechen und sich erhöhte Systemrechte sowie die vollständige Kontrolle über das Gerät zu verschaffen.
Der duale Exploit-Ansatz gewährleistet eine umfassende Kompromittierung des Systems und ermöglicht die Installation von Malware, Bewegungen innerhalb von Unternehmensnetzwerken und die Exfiltration sensibler Daten.
Microsoft reagierte darauf mit einer Einschränkung des Zugriffs auf den IE-Modus und entfernte risikoreiche Einstiegspunkte wie Symbolleisten-Schaltflächen und Kontextmenüs, während die Unterstützung von Unternehmensrichtlinien für legitime Geschäftsanforderungen beibehalten wurde.