Microsoft переглянула механізми Internet Explorer Mode (IE Mode) у браузері Edge після зафіксованої у серпні 2025 року кампанії атак. За даними команди Microsoft Browser Vulnerability Research, зловмисники поєднували базову соціальну інженерію з 0-day у JavaScript‑рушії Chakra, добиваючись віддаленого виконання коду та подальшої ескалації привілеїв.
Сценарій атаки: соціальна інженерія плюс zero‑day у Chakra
Користувачів перенаправляли на начебто легітимні сайти, де спливне вікно переконувало перезавантажити сторінку в IE Mode. Після переходу у режим сумісності атакувальники активували експлойт під Chakra, отримуючи RCE у контексті браузера. Далі застосовувався другий експлойт для підвищення привілеїв поза межами браузерного процесу, що відкривало шлях до розгортання шкідливого ПЗ, латеральних переміщень у мережі та викрадення даних.
Як обходили ізоляцію Chromium/Edge
IE Mode існує для підтримки спадкових веб‑додатків і використовує компоненти MSHTML/Trident і пов’язані з ними технології. У такому контексті діють інші, часто менш суворі, правила ізоляції, ніж у сучасному Chromium/Edge. Саме ця різниця у моделях безпеки дозволила зловмисникам обійти захист та закріпитися у системі.
Чому Internet Explorer Mode підвищує ризик для організацій
Підтримка застарілих технологій зручна для бізнесу, але розширює поверхню атаки. Частина захисних механізмів сучасних рушіїв у IE Mode працює інакше або слабше, особливо щодо сценаріїв виконання коду та взаємодії з системними компонентами. З урахуванням того, що людський фактор присутній у більшості інцидентів (за оцінками публічних звітів, зокрема Verizon DBIR 2024, це понад дві третини випадків), соціальна інженерія, спрямована на перемикання в IE Mode, стає ефективним вектором.
Зміни в Edge: менше точок запуску IE Mode, більше контрольованості
У відповідь на інциденти Microsoft прибрала кнопку запуску IE Mode з панелі інструментів, контекстного меню та “бургер”-меню Edge. Функціональність збережена, але тепер перемикання потребує усвідомленого увімкнення через налаштування і прив’язується до конкретних сайтів через список дозволених ресурсів.
Такий підхід підвищує поріг для зловмисників: один клік за підказкою більше не переводить користувача в менш захищений контекст. Організації можуть централізовано керувати переліком сайтів, які мають право відкриватися в IE Mode, зменшуючи ризики помилкових або нав’язаних переходів.
Баланс сумісності та безпеки
Microsoft прагне зберегти критичну для підприємств сумісність із legacy‑додатками. За офіційними планами IE Mode підтримується тривалий час, однак конфігурація за принципом “за замовчуванням заборонено” і адресна активація для обмеженого списку сайтів дають кращий баланс між функціональністю та ризиками.
Наслідки для ІТ-команд: політики доступу, оновлення та моніторинг
Командам безпеки варто переглянути політики використання IE Mode. Рекомендовано впровадити централізований список дозволених сайтів, обмеження за принципом найменших привілеїв, контроль версій і каналів оновлення Edge та ОС, а також активувати захисти на кшталт SmartScreen і Network Protection.
Доречними залишаються ізоляція процесів і контроль виконання (напр., Enhanced Protection/EPM, окремі профілі користувачів), використання EDR/antimalware з поведінковою аналітикою, а також політики блокування скриптів у зонах підвищеного ризику. Важливим елементом є навчання користувачів розпізнавати нав’язливі попередження про «перезавантаження в IE Mode» та перевіряти такі запити через ІТ‑підтримку.
Практичні кроки для зниження ризиків
— Використовуйте IE Mode лише для критичних ресурсів, що внесені до централізованого allowlist, і регулярно переглядайте його актуальність.
— Увімкніть та жорстко налаштуйте SmartScreen/Network Protection і фільтри соціальної інженерії на шлюзах/в пошті.
— Забезпечте своєчасні оновлення Edge і Windows, включно з патчами компонентів сумісності; відстежуйте сповіщення Microsoft Browser VR.
— Застосовуйте ізоляцію, поведінковий EDR, контроль прав на виконання сценаріїв і журналювання для швидкого виявлення та реагування.
— Плануйте поступову відмову від застарілих технологій і перенос функціоналу на сучасні веб‑стекі, щоб зменшити залежність від IE Mode.
Переналаштування IE Mode — прагматичний крок, що посилює безпеку, не руйнуючи необхідну сумісність. Водночас стійкість до подібних кампаній залежить від дисципліни конфігурації, оновлень і навчання користувачів. Якщо ваша організація досі спирається на IE Mode, сформуйте дорожню карту його заміни: це знизить ризики, полегшить відповідність вимогам безпеки та скоротить витрати на реагування на інциденти.
