Неустановленный злоумышленник задействует устаревший режим Internet Explorer в Microsoft Edge для запуска вредоносного кода в браузере пользователя и получения контроля над его устройством.

Этот режим Internet Explorer (IE Mode) - это отдельная среда выполнения веб-сайтов в Edge. Он работает, перезагружая веб-страницу, но выполняя её код внутри старых движков Internet Explorer.

Microsoft добавила его после того, как прекратила прекратила поставку IE в последних версиях Windows, что позволило сайтам, созданным десятилетия назад, по-прежнему отображаться и работать у пользователей Edge.

Причем IE Mode не запускается по умолчанию: пользователи должны нажать кнопку или выбрать пункт меню, чтобы перезагрузить страницу из Edge в старую среду выполнения IE.

По данным команды безопасности Microsoft Edge, атаки продолжаются по крайней мере с августа.

Компания получила достоверные сообщения о том, что хакеры использовали клоны легитимных веб-сайтов, чтобы заставить пользователей перезагрузить их в режиме Edge IE.

Благодаря чему они запускали цепочку эксплойтов, нацеленную на движок JavaScript Chakra, который использовался в старых версиях IE и Edge.

Цепочка эксплойтов содержала 0-day Chakra, которая позволяла им запускать вредоносный код, а также второй эксплойт для повышения привилегий и захвата контроля над всей пользовательской платформой.

Microsoft не назначила CVE и не выпустила исправлений, а вместо этого полностью переработала режим IE, полностью удалив все специальные кнопки, которые могли обновлять и перезапускать веб-сайт в режиме IE.

Теперь пользователям, желающим перезапустить веб-сайт в режиме IE, придется зайти в настройки браузера и специально включить эту функцию, перезапустить браузер, а затем вручную добавить URL сайта в список разрешенных, перезагрузка которых разрешена в режиме IE.

Microsoft считает, что дополнительные шаги по включению режима IE теперь должны обеспечить больше возможностей для обнаружения фейковых URL-адресов и задуматься прежде, чем активировать его.