Microsoft restreint l’accès au mode Internet Explorer (IE) dans son navigateur Edge après avoir découvert que des acteurs malveillants exploitaient des vulnérabilités du jour zéro. Les attaques exploitent le moteur JavaScript Chakra pour exécuter du code à distance sur les appareils cibles. L’équipe de sécurité Edge de l’entreprise a reçu des renseignements en août indiquant un nouveau vecteur de menace. Selon Gareth Evansresponsable de l’équipe de sécurité Microsoft Edge, « Le [Edge security] L’équipe a récemment reçu des renseignements indiquant que les acteurs malveillants abusaient du mode Internet Explorer (IE) dans Edge pour accéder aux appareils des utilisateurs sans méfiance. L’attaque combine l’ingénierie sociale avec l’exploit logiciel. Les acteurs de la menace dirigent leurs cibles vers ce qui a été décrit comme un « site Web falsifié d’apparence officielle » qui invite ensuite l’utilisateur, via un élément d’interface, à charger la page en mode IE. Cette action déclenche l’exploit. L’attaque se déroule en plusieurs étapes. Une fois la vulnérabilité zero-day initiale du moteur Chakra exploitée, l’attaquant exploite une deuxième vulnérabilité non spécifiée. Ceci l’exploit secondaire permet une élévation de privilèges, permettant à l’attaquant d’échapper au bac à sable de sécurité du navigateur. Après avoir dépassé les limites du navigateur, l’acteur malveillant peut prendre le contrôle total de l’appareil. Microsoft n’a pas publié d’identifiants pour les vulnérabilités impliquées et a confirmé que la faille dans le moteur Chakra n’était toujours pas corrigée.
Microsoft Edge atteint un temps de chargement de contenu inférieur à 300 ms
Le mode IE a été initialement conservé dans le navigateur Edge à des fins de compatibilité héritée, même après la fin du support officiel d’Internet Explorer le 15 juin 2022. La fonctionnalité permet d’accéder à des technologies Web plus anciennes, telles qu’ActiveX et Flash, qu’un petit nombre d’applications professionnelles et de portails gouvernementaux utilisent encore. Pour atténuer le risque immédiat, Microsoft a supprimé les méthodes simples d’activation du mode IE en un seul clic. Le bouton dédié de la barre d’outils, l’entrée du menu contextuel disponible via un clic droit et l’option située dans le menu principal du hamburger ont tous été désactivés pour les utilisateurs généraux. Ces modifications visent à faire de l’activation du mode IE une action utilisateur plus intentionnelle, réduisant ainsi le risque d’utilisation accidentelle ou malveillante. Les utilisateurs qui ont toujours besoin d’accéder aux sites avec le mode IE doivent désormais accéder à Paramètres > Navigateur par défaut > Autoriser. Dans cette section, ils doivent définir explicitement les pages spécifiques qui peuvent être chargées à l’aide du moteur Internet Explorer. Cette exigence d’une liste approuvée de sites Web est conçue pour rendre beaucoup plus difficile la réussite des attaquants dans leur exploit. Ces restrictions ne s’appliquent pas aux utilisateurs commerciaux, qui peuvent continuer à utiliser le mode IE tel que configuré via les politiques de l’entreprise. Microsoft a conseillé à tous les utilisateurs de migrer des technologies Internet Explorer héritées vers des produits modernes pour améliorer la sécurité, la fiabilité et les performances.
