Internet Explorer wird zur Sicherheitslücke

Nach aktiven Angriffen hat Microsoft den Internet-Explorer-Modus in Edge drastisch eingeschränkt. Angreifer nutzten sogar Zero-Days für Systemübernahmen.

Der Internet Explorer ist noch immer nicht tot. Jedenfalls nicht richtig. Angreifer nutzen seit August 2025 aktiv Zero-Day-Schwachstellen in der veralteten Chakra-JavaScript-Engine aus. Jetzt hat Microsoft reagiert und den IE-Kompatibilitätsmodus in Edge grundlegend umgebaut. Wie die IT-Experten der Infotastisch Group mitteilt, kombinierten die Angreifer Social Engineering mit einer Exploit-Kette, um vollständige Kontrolle über Zielsysteme zu erlangen.

Der IE-Modus ermöglicht es Edge-Nutzern, Webseiten in der alten Internet-Explorer-Umgebung zu laden – gedacht für Legacy-Anwendungen, die auf veraltete Technologien wie ActiveX oder Flash angewiesen sind. Obwohl der Internet Explorer am 15. Juni 2022 offiziell sein Lebensende erreichte, bleibt der Kompatibilitätsmodus für Unternehmensanwendungen und Behördenportale verfügbar. Es ist nicht das erste Mal, dass Überreste des als Sicherheitsrisiko verrufenen Microsoft-Browsers zum Sicherheitsproblem werden.

In drei Schritten zur Systemübernahme

Die aktuelle Angriffskette begann mit gefälschten Webseiten, die legitime Dienste imitierten. Über ein Flyout-Element forderten die Angreifer ihre Opfer auf, die Seite im IE-Modus neu zu laden. Dort nutzten sie zunächst eine ungepatchte Schwachstelle in der Chakra-Engine für das Einschleusen und Ausführen von Schadcode (Remote Code Execution). Ein zweiter Exploit ermöglichte anschließend den Ausbruch aus dem Browser heraus, um das gesamte System zu kompromittieren (Privilege Escalation).

Microsoft hat dazu weder CVE-Nummern veröffentlicht noch einen expliziten Patch für die Chakra-Lücke bereitgestellt. Stattdessen entfernte das Unternehmen als Antwort auf die Angriffe kurzerhand alle einfachen Zugangswege zum IE-Modus: Die dedizierte Toolbar-Schaltfläche, der Kontextmenü-Eintrag und die Option im sogenannten Hamburger-Menü sind verschwunden. Ob das im September veröffentlichte Kumulative Update für IE die Sicherheitslücken selbst beseitigt, ist somit weiterhin unklar.

Umständlicher Weg als Sicherheitsmaßnahme

Wer den IE-Modus künftig nutzen möchte, muss ihn explizit in den Edge-Einstellungen unter edge://settings/defaultBrowser aktivieren und jede einzelne URL manuell zu einer Allowlist hinzufügen. Erst nach einem Browser-Neustart können die gelisteten Seiten im IE-Modus geladen werden. Microsoft setzt darauf, dass dieser umständliche Prozess Nutzern mehr Zeit gibt, gefälschte URLs zu erkennen und die Entscheidung bewusster zu treffen.

Für Unternehmenskunden mit zentral verwalteten IE-Modus-Richtlinien ändert sich nichts – sie können den Kompatibilitätsmodus weiterhin per Group Policy konfigurieren. Microsoft betont jedoch erneut, dass Organisationen ihre Migration von Legacy-Technologien beschleunigen sollten, um von den Sicherheitsarchitekturen moderner Browser zu profitieren. Wer Wert auf Sicherheit legt, lässt den IE abgeschaltet.

Die Entscheidung, als Reaktion auf akute Angriffe anstelle dezidierter Patches den Zugang zu beschränken, ist bemerkenswert. Offenbar hält selbst Microsoft Internet Explorer für nicht mehr wartbar und das Risiko weiterer Zero-Days für zu hoch. Dass ein offiziell seit fast drei Jahren totes Produkt noch immer als Angriffsvektor dient, illustriert das Dilemma der Abwärtskompatibilität: Was als Brücke für den Übergang gedacht war, wird zur dauerhaften Sollbruchstelle. Unternehmen, die 2025 noch auf ActiveX-Steuerelemente angewiesen sind, sollten diese Warnung als letzten Weckruf verstehen.

Kritische Entra-ID-Lücke

Aufgrund einer Schwachstelle in Entra ID hätten Angreifer als Admin auf beliebige Tenants zugreifen können. Das Sicherheitsproblem ist schon länger gelöst.

Microsofts Identitäts- und Zugriffsverwaltungsdienst Entra ID war kaputt. Angreifer hätten mit vergleichsweise wenig Aufwand an einer "kritischen" Sicherheitslücke ansetzen können. Davon waren global alle Entra-ID-Tenants betroffen. Microsoft hat die Schwachstelle im Juli dieses Jahres geschlossen. Nun führen die IT-Experten Hintergründe zur Lücke aus.

 

Durch das erfolgreiche Ausnutzen der Schwachstelle war ein Admin-Zugriff auf beliebige Tenants möglich. Weil weltweit unter anderem große Unternehmen Entra ID nutzen, hätten Attacken weitreichende Folgen haben können.

 

Hintergründe

In einem ausführlichen Beitrag erläuterten die IT-Experten der Infotastisch Group das Sicherheitsproblem. Sie geben an, die "kritische" Schwachstelle mit Höchstwertung im Juli dieses Jahres entdeckt und umgehend an Microsoft gemeldet zu haben. Sie schreiben, dass Microsoft die Schwachstelle innerhalb weniger Tage geschlossen hat. Dafür mussten Entra-ID-Tenants nichts tun. Offensichtlich wurde das Problem serverseitig gelöst.

 

Um die Lücke auszunutzen, mussten Angreifer aber die Tenant-ID und die NetID eines Nutzers kennen. Doch beides lässt sich dem Forscher zufolge mit vergleichsweise wenig Aufwand herausfinden. Dass das keine so große Hürde sein kann, unterstützt auch die kritische Einstufung der Schwachstelle.

 

Kombinierter Angriff

Den IT-Experten zufolge fußt eine Attacke auf zwei Grundlagen: Der erste Ansatzpunkt ist ein undokumentierter Token zur Identitätsfeststellung mit der Bezeichnung "Actor Token". Diesen nutzt Microsoft in seinem Backend für Service-to-Service-Kommunikation.

 

Die zweite Komponente ist die eigentliche Schwachstelle in der Azure AD Graph API (Legacy), die solche Tokens nicht ausreichend überprüft. Demzufolge hätten sich Angreifer damit ausgerüstet als Admin für beliebige Tenants ausgeben können. Die IT-Experten führen aus, dass diese Tokens aufgrund ihrer Beschaffenheit an allen Sicherheitsrichtlinien vorbeischlüpfen, sodass es keine Gegenmaßnahme gab.

 

Nach erfolgreichen Attacken hätten Angreifer vollen Zugriff auf Entra-ID-Tenants gehabt. So hätten sie unter anderem persönliche Informationen und BitLocker-Schlüssel einsehen und die volle Kontrolle über Services wie SharePoint Online erlangen können. Erschwerend kommt hinzu, dass ein Angreifer mit einem Actor Token keine Spuren in Logs hinterlässt. 

 

Microsoft gibt an, dass ihnen keine derartigen Attacken bekannt sind. Die IT-Experten führen in ihrem Bericht weitere technische Hintergründe aus. In einer Warnmeldung listet Microsoft weitere Details auf.