В августе 2025 года Microsoft получила «достоверные сообщения» об активной эксплуатации режима обратной совместимости Internet Explorer (IE) в браузере Edge. Неизвестные злоумышленники использовали уязвимость нулевого дня (0-day) для того, чтобы «захватить полный контроль над устройством жертвы», что вынудило компанию кардинально изменить механизм доступа к этой функции.
Атака основывалась на уязвимости в устаревшем движке JavaScript под названием Chakra, который является частью Internet Explorer. Согласно отчету, опубликованному командой Microsoft Browser Vulnerability Research, именно этот компонент стал главной мишенью в сложной цепочке взлома. Злоумышленники использовали его для обхода современных защитных механизмов.
Первым шагом атаки была социальная инженерия. Пользователя обманом заманивали на вредоносный сайт, который выглядел легитимным. На этом сайте появлялось специальное всплывающее окно («flyout»), которое предлагало или требовало перезагрузить страницу в режиме Internet Explorer для корректного отображения контента.
После того как пользователь соглашался и активировал режим IE, в дело вступал эксплойт для движка Chakra. Он позволял злоумышленникам выполнить произвольный код на компьютере жертвы удаленно. Это был первый этап проникновения в систему, который открывал возможность для дальнейших действий.
Для получения полного контроля над системой атакующие использовали второй эксплойт. Его задачей было повышение привилегий, что позволяло выйти за пределы изолированной среды безопасности браузера, известной как «песочница». Успешный выход из песочницы предоставлял хакерам практически неограниченный доступ к операционной системе.
Опасность этой атаки заключалась в том, что она полностью обходила современные средства защиты, встроенные в движок Chromium и сам браузер Microsoft Edge. Принудительно переводя браузер в «менее безопасное состояние» путем активации устаревшего движка IE, злоумышленники нивелировали многолетние усовершенствования в области кибербезопасности.
Получив контроль над системой, злоумышленники могли развертывать вредоносное программное обеспечение, осуществлять боковое перемещение для атаки на другие устройства в локальной сети и проводить эксфильтрацию данных, то есть кражу конфиденциальной информации с зараженного компьютера.
В ответ на эту угрозу Microsoft полностью удалила все методы быстрого включения режима IE. Из браузера исчезли специальная кнопка на панели инструментов, соответствующий пункт в контекстном меню и опции в главном меню. Легкий доступ к устаревшей технологии был ликвидирован.
Теперь для активации режима IE требуется выполнить целенаправленную последовательность действий для каждого конкретного сайта. Пользователь должен зайти в «Настройки», перейти в раздел «Браузер по умолчанию», найти опцию «Разрешить перезагрузку сайтов в режиме Internet Explorer» и установить значение «Разрешить».
После этого необходимо вручную добавить URL-адрес нужного сайта в «Список страниц режима Internet Explorer». Только после выполнения этих шагов сайт можно будет перезагрузить с использованием устаревшего движка.
По заявлению Microsoft, эти изменения призваны сделать решение об использовании устаревшей технологии «значительно более осознанным». Компания утверждает, что новый, усложненный процесс создает «существенный барьер даже для самых решительных злоумышленников», балансируя между потребностями в поддержке старых сайтов и требованиями безопасности.
При этом Microsoft не раскрыла технические детали использованных уязвимостей, не назвала ответственных за атаки лиц или группы и не предоставила информацию о масштабе кампании и количестве пострадавших пользователей.
Изображение носит иллюстративный характер
Атака основывалась на уязвимости в устаревшем движке JavaScript под названием Chakra, который является частью Internet Explorer. Согласно отчету, опубликованному командой Microsoft Browser Vulnerability Research, именно этот компонент стал главной мишенью в сложной цепочке взлома. Злоумышленники использовали его для обхода современных защитных механизмов.
Первым шагом атаки была социальная инженерия. Пользователя обманом заманивали на вредоносный сайт, который выглядел легитимным. На этом сайте появлялось специальное всплывающее окно («flyout»), которое предлагало или требовало перезагрузить страницу в режиме Internet Explorer для корректного отображения контента.
После того как пользователь соглашался и активировал режим IE, в дело вступал эксплойт для движка Chakra. Он позволял злоумышленникам выполнить произвольный код на компьютере жертвы удаленно. Это был первый этап проникновения в систему, который открывал возможность для дальнейших действий.
Для получения полного контроля над системой атакующие использовали второй эксплойт. Его задачей было повышение привилегий, что позволяло выйти за пределы изолированной среды безопасности браузера, известной как «песочница». Успешный выход из песочницы предоставлял хакерам практически неограниченный доступ к операционной системе.
Опасность этой атаки заключалась в том, что она полностью обходила современные средства защиты, встроенные в движок Chromium и сам браузер Microsoft Edge. Принудительно переводя браузер в «менее безопасное состояние» путем активации устаревшего движка IE, злоумышленники нивелировали многолетние усовершенствования в области кибербезопасности.
Получив контроль над системой, злоумышленники могли развертывать вредоносное программное обеспечение, осуществлять боковое перемещение для атаки на другие устройства в локальной сети и проводить эксфильтрацию данных, то есть кражу конфиденциальной информации с зараженного компьютера.
В ответ на эту угрозу Microsoft полностью удалила все методы быстрого включения режима IE. Из браузера исчезли специальная кнопка на панели инструментов, соответствующий пункт в контекстном меню и опции в главном меню. Легкий доступ к устаревшей технологии был ликвидирован.
Теперь для активации режима IE требуется выполнить целенаправленную последовательность действий для каждого конкретного сайта. Пользователь должен зайти в «Настройки», перейти в раздел «Браузер по умолчанию», найти опцию «Разрешить перезагрузку сайтов в режиме Internet Explorer» и установить значение «Разрешить».
После этого необходимо вручную добавить URL-адрес нужного сайта в «Список страниц режима Internet Explorer». Только после выполнения этих шагов сайт можно будет перезагрузить с использованием устаревшего движка.
По заявлению Microsoft, эти изменения призваны сделать решение об использовании устаревшей технологии «значительно более осознанным». Компания утверждает, что новый, усложненный процесс создает «существенный барьер даже для самых решительных злоумышленников», балансируя между потребностями в поддержке старых сайтов и требованиями безопасности.
При этом Microsoft не раскрыла технические детали использованных уязвимостей, не назвала ответственных за атаки лиц или группы и не предоставила информацию о масштабе кампании и количестве пострадавших пользователей.
