Microsoft ограничивает доступ к режиму Internet Explorer в браузере Edge после того, как стало известно, что хакеры используют эксплойты нулевого дня в движке JavaScript Chakra для доступа к целевым устройствам.
Технологический гигант не раскрыл подробностей, но сообщил, что злоумышленники сочетали социальную инженерию с эксплойтом в Chakra для удалённого выполнения кода.
«Команда безопасности Edge недавно получила данные, указывающие на то, что злоумышленники используют режим Internet Explorer (IE) в Edge для получения доступа к устройствам ничего не подозревающих пользователей», — говорит Гарет Эванс, руководитель группы безопасности Microsoft Edge.
Хотя поддержка Internet Explorer прекратилась 15 июня 2022 года, в Microsoft Edge есть режим IE для совместимости со старыми технологиями (ActiveX и Flash), которые всё ещё используются в небольшом наборе бизнес-приложений и правительственных порталов.
В августе команда безопасности Edge обнаружила, что злоумышленники направляли жертв на «поддельный веб-сайт, выглядящий как официальный», который через элемент интерфейса предлагал пользователям загрузить страницу в режиме IE. После эксплуатации первого бага в Chakra злоумышленники пользовались второй уязвимостью, чтобы повысить привилегии, выйти из браузера и получить полный контроль над устройством.
Эванс не предоставил идентификаторы эксплуатируемых уязвимостей и заявил, что уязвимость в Chakra не исправлена.
Чтобы снизить риск, Microsoft удалила методы, позволяющие активировать режим IE в Edge простыми способами, такими как специальная кнопка на панели инструментов, контекстное меню и пункты меню-гамбургера.
Пользователям, желающим активировать режим IE, теперь необходимо перейти в раздел «Настройки» > «Браузер по умолчанию» > «Разрешить» и указать страницы, которые следует загружать с помощью Internet Explorer. Список веб-сайтов, разрешённых для загрузки в режиме IE, должен значительно затруднить злоумышленникам попытки взлома.
Эти изменения не распространяются на коммерческих пользователей, которые продолжат использовать режим IE, настроенный в корпоративных политиках.
С 15 июня 2022 года Microsoft прекратила поддержку классического приложения Internet Explorer 11.
Источник: habr.com