Microsoftは、ハッカーがChakra JavaScriptエンジンのゼロデイ脆弱性を悪用して標的デバイスへアクセスしていることを受け、EdgeブラウザでのInternet Explorerモードへのアクセスを制限しています。
このテクノロジー大手は多くの技術的詳細は明かしていませんが、攻撃者がChakraの脆弱性とソーシャルエンジニアリングを組み合わせてリモートコード実行を実現したと述べています。
「[Edgeセキュリティ]チームは最近、攻撃者がEdge内のInternet Explorer(IE)モードを悪用し、無防備なユーザーのデバイスにアクセスしているという情報を受け取りました」と、Microsoft EdgeセキュリティチームリードのGareth Evans氏は述べています。
Internet Explorerのサポートは2022年6月15日に終了しましたが、Microsoft Edgeには、依然として一部の業務アプリケーションや政府ポータルで使われている旧技術(ActiveXやFlash)との互換性のためのIEモードが用意されています。
8月、Edgeセキュリティチームは、攻撃者が標的を「公式に見える偽装サイト」に誘導し、インターフェース要素を通じてIEモードでページを読み込むよう促していることを把握しました。
Chakraのゼロデイ脆弱性を悪用した後、攻撃者は2つ目の脆弱性を利用して権限を昇格し、ブラウザから脱出してデバイスを完全に制御しました。
Evans氏は悪用された脆弱性の識別子を明かさず、Chakraの欠陥は未修正であると述べています。
リスクを軽減するため、MicrosoftはEdgeでIEモードを簡単に有効化できる方法(専用ツールバーボタン、コンテキストメニュー、ハンバーガーメニュー内の項目)を削除しました。
IEモードを有効にしたいユーザーは、設定 > 既定のブラウザー > 許可 へ進み、Internet Explorerで読み込むべきページを定義する必要があります。
出典: BleepingComputer
新たな制限は、IEモードの有効化をユーザーの意図的な操作に限定することを目的としています。さらに、IEモードで読み込むことを許可されたウェブサイトのリストにより、攻撃者が侵害を成功させるのは非常に困難になります。
これらの変更は商用ユーザーには適用されず、企業ポリシーで設定された通りIEモードを引き続き利用できます。
ただし、Microsoftは、ユーザーに対しInternet Explorerの旧式ウェブ技術から、より高いセキュリティと信頼性、性能向上を提供する最新製品への移行を推奨しています。
