Microsoft restreint l’accès au mode Internet Explorer dans le navigateur Edge après avoir appris que les pirates exploitent les exploits zero-day dans le moteur JavaScript Chakra pour accéder aux appareils cibles.
Le géant de la technologie n’a pas partagé trop de détails techniques, mais a déclaré que l’auteur de la menace combinait l’ingénierie sociale avec un exploit dans Chakra pour obtenir l’exécution de code à distance.
” L’équipe [Edge security] a récemment reçu des informations indiquant que des acteurs de la menace abusaient du mode Internet Explorer (IE) dans Edge pour accéder aux appareils des utilisateurs sans méfiance », déclare Gareth Evans, responsable de l’équipe de sécurité de Microsoft Edge.
Bien que la prise en charge d’Internet Explorer ait pris fin le 15 juin 2022, Microsoft Edge dispose d’un mode IE pour la compatibilité héritée avec les technologies plus anciennes (ActiveX et Flash) toujours utilisées avec un petit ensemble d’applications professionnelles et de portails gouvernementaux.
En août, l’équipe de sécurité Edge a appris que les auteurs de menaces dirigeaient les cibles vers « un site Web usurpé d’apparence officielle » qui incitait les utilisateurs, via un élément d’interface, à charger la page en mode IE.
Après avoir exploité le jour zéro dans Chakra, l’attaquant a exploité une deuxième vulnérabilité pour augmenter les privilèges et échapper au navigateur, et prendre le contrôle total de l’appareil.
Evans n’a pas fourni d’identifiants pour les vulnérabilités exploitées et a déclaré que la faille dans Chakra n’était pas corrigée.
Pour atténuer le risque, Microsoft a supprimé les méthodes qui permettaient d’activer le mode IE dans Edge via des méthodes simples, telles que le bouton de barre d’outils dédié, le menu contextuel et les éléments du menu hamburger.
Les utilisateurs qui souhaitent que le mode IE soit actif doivent maintenant accéder à Paramètres > Navigateur par défaut > Autoriser et définir les pages à charger à l’aide d’Internet Explorer.
Les nouvelles restrictions visent à faire de l’activation du mode IE une action intentionnelle de l’utilisateur. De plus, la liste des sites Web autorisés à se charger en mode IE devrait rendre très difficile pour les attaquants de réussir leurs tentatives de compromission.
Ces modifications ne s’appliquent pas aux utilisateurs commerciaux, qui continueront à utiliser le mode IE tel que configuré via les stratégies d’entreprise.
Cependant, Microsoft a rappelé aux utilisateurs qu’ils devaient migrer de la technologie Web héritée d’Internet Explorer vers des produits modernes qui offrent une meilleure sécurité, sont plus fiables et offrent des performances améliorées.