Microsoft hat die Bedienung des Internet-Explorer-Kompatibilitätsmodus (IE Mode) in Edge überarbeitet, nachdem im August 2025 gezielte Angriffe beobachtet wurden. Nach Angaben des Teams Microsoft Browser Vulnerability Research kombinierten die Täter einfache Social-Engineering-Tricks mit Zero-Day-Schwachstellen im JavaScript-Engine Chakra, um auf Endgeräten Code auszuführen und ihre Berechtigungen auszuweiten.
Angriffskette: Social Engineering, IE Mode, RCE und EoP
Die Operation verlief in mehreren Schritten. Zunächst wurden Nutzer auf scheinbar vertrauenswürdige Seiten gelockt, wo auffordernde Pop-ups eine Neulandung im IE Mode nahelegten. Nach dem Umschalten auf den Kompatibilitätsmodus exploitierte die Gruppe eine Chakra-0‑Day, um Remote Code Execution (RCE) im Browserkontext zu erreichen.
Im Anschluss folgte eine zweite Ausnutzung zur Privilegienausweitung (EoP) außerhalb des Browserprozesses. Damit ließ sich Systempersistenz herstellen, Malware nachladen, seitliche Bewegung im Netzwerk initiieren und Daten exfiltrieren. Entscheidend: Der Wechsel in den IE Mode umging Sicherheitsmechanismen, die in modernen Chromium-/Edge-Kontexten standardmäßig strenger wirken, und nutzte eine weniger strikt gehärtete Legacy-Architektur aus.
Warum der IE Mode ein erhoehter Risikofaktor ist
Der IE Mode existiert, um Legacy-Webanwendungen und Intranet-Workloads weiter zu betreiben, die von älteren Technologien wie MSHTML/Trident und Chakra abhängen. Diese Rückwärtskompatibilität ist betrieblich oft notwendig, erhöht jedoch die Angriffsoberfläche. Bestimmte Isolations- und Sandbox-Eigenschaften unterscheiden sich, wodurch Exploit-Ketten – wie in der aktuellen Kampagne – wahrscheinlicher zum Erfolg kommen.
Dieses Muster passt zu etablierten Befunden der Branche: Studien wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass der Human Factor (Social Engineering, irreführende Prompts) maßgeblich zur Kompromittierung beiträgt. Wird der Benutzerfluss zusätzlich in einen Legacy-Kontext verlagert, wächst das Risiko signifikant.
Was Microsoft geaendert hat: Weniger Klickpfade in den IE Mode
Als unmittelbare Gegenmaßnahme entfernte Microsoft die IE‑Mode-Schaltflächen aus Symbolleiste, Kontextmenüs und dem Hauptmenü von Edge. Die Funktion bleibt erhalten, doch das Umschalten muss nun bewusst in den Einstellungen aktiviert und über zugelassene Websites gesteuert werden.
Balance zwischen Sicherheit und Kompatibilitaet
Durch das Einschränken spontaner Einstiegspunkte wird die Entscheidung für Legacy-Rendering expliziter und nachvollziehbarer. Der zusätzliche Schritt, eine Domain in die Enterprise Mode Site List aufzunehmen, erhöht den Aufwand für Angreifer: Ein einzelner Klick auf ein Pop-up genügt nicht mehr, um Nutzer in einen angreifbareren Kontext zu zwingen.
Implikationen fuer IT-Teams und Unternehmen
Organisationen, die IE Mode weiterhin benötigen, sollten ihre Governance schärfen. Empfehlenswert sind zentral verwaltete Site-Listen, ein strikt umgesetztes Least-Privilege-Prinzip und eine klare Patch- und Update-Strategie für Edge, Windows und Kompatibilitätskomponenten. Microsofts technische Anleitung zu IE Mode in Edge beschreibt die Härtung über Gruppenrichtlinien und die Enterprise Mode Site List im Detail.
Praktisch bewährt haben sich zudem SmartScreen und Network Protection, der Einsatz von EDR mit Verhaltensanalytik sowie restriktive Skriptausführung in Zonen mit erhöhtem Risiko. Ebenso zentral ist Awareness: Mitarbeitende sollten auffordernde Pop-ups zur „Neuladung im IE Mode“ grundsätzlich hinterfragen und im Zweifel den IT‑Service kontaktieren.
Mit der reduzierten Zugänglichkeit des IE Mode zieht Microsoft eine sinnvolle Sicherheitslinie, ohne kritische Legacy-Prozesse abrupt zu brechen. Die nachhaltige Lösung bleibt jedoch, Abhängigkeiten von veralteten Technologien zügig abzubauen. Wer heute noch auf IE Mode angewiesen ist, sollte einen phasenweisen Migrationsplan aufsetzen: Priorisieren Sie Systeme nach Kritikalität, virtualisieren Sie Altanwendungen bei Bedarf und migrieren Sie schrittweise auf moderne, unterstützte Plattformen. So sinkt das Risiko, Compliance-Anforderungen lassen sich leichter erfüllen und Reaktionsaufwände im Incident-Fall gehen zurück.
