一则微软edge浏览器安全预警引发黑鸟关注,有神秘黑客团伙正滥用微软 Edge 浏览器中的旧版 Internet Explorer 模式(简称 IE 模式) ,在用户浏览器中运行恶意代码,最终实现对设备的接管。
据微软 Edge 安全团队透露,此类攻击至少从 8 月起就已持续发生。要理解这一威胁,首先得搞清楚 IE 模式的作用 ------ 它并非 Edge 原生功能,而是一个独立的网页运行环境:当用户触发该模式时,网页会重新加载,但其代码实际运行在旧版 Internet Explorer 的引擎中。
https://microsoftedge.github.io/edgevr/posts/Changes-to-Internet-Explorer-Mode-in-Microsoft-Edge/
为什么 Edge 会保留这个 "旧功能"?这背后是兼容性考量:在停用旧版 IE 浏览器后,微软为 Edge 新增了 IE 模式,目的是让那些几十年前开发的旧网站、政府门户网站,即便在不再预装 IE 的新版 Windows 系统中,也能在 Edge 里正常加载和运行。
需要注意的是,IE 模式并非默认开启,原本用户只需点击一个按钮或选择菜单选项,就能将网页从 Edge 环境切换到旧版 IE 运行环境。但恰恰是这个 "便捷切换",成了黑客的突破口。
微软表示,已收到 "可信来源报告":黑客会搭建仿冒合法网站的虚假页面,诱导用户将这些仿冒页在 Edge 的 IE 模式下重新加载。一旦用户操作,页面就会触发一条 "漏洞利用链"------ 这条链条的核心是针对旧版 IE 和 Edge 曾使用的Chakra JavaScript 引擎:
1.首先利用一个 Chakra 0day漏洞,实现恶意代码的运行;
2.再通过第二个漏洞提升权限,最终完全接管用户的设备。
攻击者首先说服受害者导航到一个看起来像官方的欺骗性网站,然后使用页面上的浮出控件请求用户在 Internet Explorer 模式下重新加载页面。然后,攻击者将利用 Chakra(IE 的 JavaScript 引擎)漏洞来获得远程代码执行。最后,攻击者将使用第二个漏洞将他们的权限提升到浏览器之外,以完全控制受害者的设备。
此前黑鸟关注到有类似手法的组织为UTG-Q-017,该组织也是以高超的水坑攻击著称。
面对这一威胁,微软并未采用常规的 "发布 CVE 编号 + 推送补丁" 方式,而是直接对 IE 模式进行了彻底调整:
目前 Edge 安全团队已移除所有可快速切换到 IE 模式的按钮,包括专属的工具栏按钮、右键菜单选项,以及汉堡(主)菜单中的对应选项。
现在用户若想在 IE 模式下打开网页,流程变得复杂得多:
必须先进入浏览器设置(浏览器窗口输入edge://settings/defaultBrowser),手动开启 IE 模式功能,重启浏览器后,再将目标网站的 URL 手动添加到 "允许在 IE 模式下重新加载的网站列表" 中,才能使用该模式。
微软对此解释:
增加启用 IE 模式的步骤,是为了给用户留出更多 "警惕时间"------ 在完成这些操作的过程中,用户有更多机会发现仿冒网站的虚假 URL,从而在启用模式前多做一层判断,降低受骗风险。
对于普通用户而言,当前最关键的防范点在于:若遇到任何网站要求你 "切换到 Edge 的 IE 模式加载",务必先仔细核对网址是否为官方合法地址,避免因误点仿冒页面,给黑客可乘之机。
国内还在用IE的要注意安全,输入网站的时候要看清楚,此前已经有故意模仿网银相关域名从而诱导受害者输错域名从而被攻击的情况。
为什么要用IE,相信要用网银的同学更清楚。
上期: What ever you want
