Eine neue Welle von Cyberangriffen nutzt eine kritische Zero-Day-Lücke in den verbliebenen Komponenten des Internet Explorers aus. Obwohl Microsoft den Browser vor fast vier Jahren einstellte, sind Teile seiner Engine tief in Windows verwurzelt – und werden jetzt zur Verbreitung hocheffektiver Malware genutzt.
Da Hacker gezielt Windows-Schwachstellen nutzen, um unbemerkt Spionage-Software auf Ihren Rechner zu schleusen, ist ein Experten-Schutz für Ihr System unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihren PC effektiv vor Viren und Ausspäh-Programmen absichern. Anti-Virus-Paket jetzt kostenlos herunterladen
Der untote Browser im System
Die Rendering-Engine MSHTML, auch als Trident bekannt, steckt weiterhin im Kern von Windows 10 und 11. Sie wird für den IE-Modus in Microsoft Edge und viele Drittanbieter-Apps benötigt. Genau hier schlagen Angreifer jetzt zu: Die Schwachstelle CVE-2026-21513 umgeht Sicherheitsmechanismen vollständig.
Die Lücke wird ausgenutzt, sobald ein Nutzer eine manipulierte Internet-Verknüpfung (.url) öffnet. Das Tückische: Das System startet den veralteten Internet Explorer im Hintergrund, selbst wenn ein moderner Browser als Standard festgelegt ist. Über den „mhtml:“-Protokoll-Handler zwingen Angreifer die Darstellung durch die unsichere Trident-Engine – mit weit weniger Schutz als moderne Alternativen.
Alte Taktik, neue Gefahr
Die aktuelle Angriffswelle ähnelt Kampagnen aus den Jahren 2024 und 2025. Damals nutzte die als „Void Banshee“ bekannte Hacker-Gruppe eine ähnliche Lücke. Sie tarnte Internet-Verknüpfungen als harmlose PDF-Dokumente.
Heute setzen die Angreifer auf hochgradig personalisierte Social-Engineering-Methods. Sie bewegen Nutzer zum Klicken auf manipulierte Links in E-Mails oder über Cloud-Dienste. Die Dateien verstecken sich oft in ZIP-Archiven, die angeblich wichtige Dokumente enthalten. Nach dem Öffnen lädt die Malware im Hintergrund eine HTML-Applikation nach – und nutzt die unzureichenden Warnmeldungen des Internet Explorers aus.
Atlantida Stealer klaut digitale Identitäten
Das Hauptziel ist die Installation des „Atlantida Stealer“. Diese Infostealer-Malware extrahiert maximale Datenmengen in kürzester Zeit. Sie späht Zugangsdaten aus Browsern, Cookies, Verlauf und Kryptowährungs-Wallets aus.
Pro Quartal werden in Deutschland Millionen von Online-Konten gehackt, oft weil klassische Passwörter keinen ausreichenden Schutz mehr gegen moderne Malware bieten. Erfahren Sie in diesem Gratis-Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. endlich hacker-sicher machen. Kostenlosen Passkey-Ratgeber sichern
Besonders kritisch: Die Malware stiehlt Authentifizierungs-Token und Sitzungs-Cookies. Damit umgehen Angreifer die Zwei-Faktor-Authentifizierung, indem sie aktive Sitzungen übernehmen. Das betrifft auch Smartphones, da viele Nutzer ihre Passwörter über Cloud-Dienste synchronisieren. Ein PC-Infekt gibt Hackern oft zeitgleich Zugriff auf mobile Banking-Apps und private Cloud-Speicher.
So schützen Sie sich jetzt
Sicherheitsbehörden wie das BSI empfehlen die sofortige Installation der neuesten Windows-Updates. Microsoft veröffentlichte bereits im Februar 2026 einen Notfall-Patch, der den automatischen Start des Internet Explorers unterbindet.
Experten raten zu extremer Vorsicht bei .url-Dateien. Da diese Symbole seriöser Anwendungen annehmen können, sollten Nutzer Dateiendungen im Explorer immer einblenden. Passwort-Manager außerhalb des Browsers sind schwerer zu kompromittieren. Für kritische Konten bieten Hardware-Sicherheitsschlüssel wie YubiKeys Schutz, da sie nicht durch gestohlene Cookies umgangen werden können.
Wann verschwindet die Legacy-Gefahr?
Die hartnäckige Präsenz des Internet Explorers wirft eine Frage auf: Wann entfernt Microsoft die veraltete Engine endgültig? Interne Zeitpläne sehen eine schrittweise Deaktivierung in den kommenden zwei Jahren vor. Unternehmen sollen durch modernere Emulationslösungen abgesichert werden.
Doch für Privatnutzer bleibt das Risiko vorerst bestehen. Gruppen wie Void Banshee werden weiter nach Wegen suchen, veraltete Systembibliotheken zu missbrauchen. Die aktuelle Zero-Day-Problematik zeigt: Cybersicherheit geht über das Löschen einer Desktop-Verknüpfung hinaus. Wachsamkeit und konsequentes Patch-Management bleiben die effektivste Verteidigung.
