Microsoft đang hạn chế quyền truy cập vào chế độ Internet Explorer (IE mode) trong trình duyệt Edge sau khi phát hiện tin tặc đang lợi dụng lỗ hổng zero-day trong công cụ JavaScript Chakra để truy cập vào các thiết bị mục tiêu.
Gã khổng lồ công nghệ không chia sẻ quá nhiều chi tiết kỹ thuật nhưng cho biết kẻ tấn công đã kết hợp kỹ thuật xã hội với một lỗ hổng trong Chakra để thực thi mã từ xa.
“Nhóm [bảo mật Edge] gần đây đã nhận được thông tin tình báo cho thấy kẻ tấn công đang lợi dụng chế độ Internet Explorer (IE) trong Edge để truy cập vào các thiết bị của người dùng không hề hay biết”, Gareth Evans, Trưởng nhóm Bảo mật Microsoft Edge, cho biết.
Mặc dù hỗ trợ cho Internet Explorer đã kết thúc vào ngày 15 tháng 6 năm 2022, Microsoft Edge vẫn có chế độ IE để tương thích với các công nghệ cũ hơn (ActiveX và Flash) vẫn được sử dụng trong một nhóm nhỏ các ứng dụng doanh nghiệp và cổng thông tin chính phủ.
Vào tháng 8, nhóm bảo mật Edge đã phát hiện ra rằng các tác nhân đe dọa đang hướng mục tiêu đến “một trang web giả mạo trông có vẻ chính thức” và yêu cầu người dùng tải trang ở chế độ IE thông qua một thành phần giao diện.
Sau khi khai thác lỗ hổng zero-day trong Chakra, kẻ tấn công đã lợi dụng lỗ hổng thứ hai để tăng đặc quyền, thoát khỏi trình duyệt và chiếm quyền kiểm soát hoàn toàn thiết bị.
Evans không cung cấp thông tin nhận dạng cho các lỗ hổng đã khai thác và cho biết lỗ hổng trong Chakra vẫn chưa được vá.
Để giảm thiểu rủi ro, Microsoft đã loại bỏ các phương pháp cho phép kích hoạt chế độ IE trong Edge thông qua các phương pháp đơn giản, chẳng hạn như nút thanh công cụ chuyên dụng, menu ngữ cảnh và các mục trong menu hamburger.
Người dùng muốn kích hoạt chế độ IE hiện phải vào Settings > Default Browser > Allow and define the pages that should be loaded using Internet Explorer.
Các hạn chế mới nhằm mục đích biến việc kích hoạt chế độ IE thành một hành động cố ý của người dùng. Hơn nữa, danh sách các trang web được phép tải ở chế độ IE sẽ khiến kẻ tấn công rất khó thành công trong các nỗ lực xâm nhập của chúng.
Những thay đổi này không áp dụng cho người dùng thương mại, những người sẽ tiếp tục sử dụng chế độ IE theo cấu hình thông qua chính sách doanh nghiệp.
Tuy nhiên, Microsoft nhắc nhở người dùng rằng họ nên chuyển đổi từ công nghệ web cũ trong Internet Explorer sang các sản phẩm hiện đại mang lại khả năng bảo mật tốt hơn, đáng tin cậy hơn và hiệu suất được cải thiện.