Microsoft пересмотрела работу режима совместимости Internet Explorer (IE Mode) в браузере Edge после серии атак, зафиксированных в августе 2025 года. По данным команды Microsoft Browser Vulnerability Research, злоумышленники злоупотребляли механизмом обратной совместимости, комбинируя базовую социальную инженерию с нулевыми днями в JavaScript-движке Chakra, чтобы получить несанкционированный доступ к устройствам пользователей.
Как атака обходила защиту Edge и Chromium
Сценарий выглядел просто: жертв приводили на на первый взгляд легитимные сайты, где всплывающее окно убеждало перезагрузить страницу в режиме IE. После переключения в IE Mode атакующие задействовали эксплойт для Chakra и добивались удаленного выполнения произвольного кода (RCE) в контексте браузера.
Эскалация привилегий и выход за пределы браузера
Чтобы закрепиться в системе, злоумышленники применяли второй эксплойт для повышения привилегий за пределами браузерного процесса. Это давало полный контроль над устройством, открывая путь к развертыванию малвари, боковому перемещению в сети и краже данных. По сути, переход в IE Mode позволял обойти современные изоляционные механизмы Chromium/Edge, задействуя менее строгую модель безопасности устаревших технологий.
Почему IE Mode повышает риск
IE Mode существует для поддержки «наследных» веб-приложений и интранет-ресурсов, завязанных на устаревшие технологии (например, компоненты Trident/Chakra). Такая совместимость удобна для предприятий, но повышает поверхность атаки: некоторые защитные ограничения новых браузерных движков в этом режиме действуют иначе или слабее, что и было использовано противниками.
Какие изменения внедрила Microsoft
В ответ на кампанию компания удалила кнопку запуска IE Mode из панели инструментов, контекстного меню и «бургер»-меню Edge. Возможность использовать IE Mode сохраняется, но теперь переключение необходимо сознательно включать через настройки и привязывать к конкретным сайтам с помощью списка разрешенных ресурсов.
Баланс безопасности и совместимости
По словам Microsoft, ограничение точек запуска делает решение о загрузке контента через устаревшие технологии более осознанным. Дополнительные шаги для добавления сайта в список повышают порог для атакующих: единичный клик по подсказке больше не переводит пользователя в уязвимый контекст совместимости.
Что это значит для ИТ-команд и бизнеса
Организациям, полагающимся на IE Mode для legacy-систем, стоит пересмотреть политику его использования. Централизованно управляемые списки сайтов, ограничение доступа по принципу наименьших привилегий и контроль каналов обновлений Edge помогут снизить риск. Microsoft не раскрывает деталей эксплойтов, группы-оператора и масштаб кампании, поэтому универсальными становятся гигиенические меры безопасности и жесткая модель доверия к веб-контенту.
Рекомендации по снижению рисков
— Используйте IE Mode только для критичных ресурсов, добавленных в централизованный список сайтов, и периодически пересматривайте его на предмет актуальности.
— Включите строгие политики SmartScreen/Network Protection и блокировку нежелательных сценариев социальной инженерии в организации.
— Обеспечьте оперативные обновления Edge и ОС, включая патчи для компонентов совместимости; отслеживайте уведомления Microsoft Browser VR.
— Применяйте изоляцию и контроль выполнения (EPM/обособленные профили), EDR/ANTi-malware с поведением, а также ограничения на запуск скриптов в зонах повышенного риска.
— Проводите обучение сотрудников распознаванию навязчивых всплывающих подсказок и просьб о «перезагрузке сайта в IE Mode». Любые такие инструкции должны вызывать сомнение и проверяться через ИТ-поддержку.
Переработка IE Mode — прагматичный шаг, который укрепляет защиту, не ломая критичную для бизнеса обратную совместимость. Но устойчивость к подобным атакам зависит не только от настроек браузера. Усильте контроль над списком сайтов, минимизируйте использование устаревших технологий и регулярно обновляйте программную платформу. Если ваша организация все еще зависит от IE Mode, самое время составить план его поэтапной замены: это снизит риски, упростит соответствие требованиям безопасности и сократит издержки на реагирование на инциденты.
