Microsoft uszczelnia IE Mode w Edge po atakach z wykorzystaniem 0-day w Chakra

Wprowadzenie do problemu / definicja luki

Microsoft przebudował sposób uruchamiania Internet Explorer (IE) mode w przeglądarce Edge po „wiarygodnych doniesieniach” o realnych atakach z sierpnia 2025 r., w których napastnicy przekształcali tę funkcję kompatybilności w furtkę do przejęcia systemu. W odpowiedzi usunięto szybkie „wejścia” do IE mode (przycisk na pasku, opcje w menu kontekstowym i hamburger menu), pozostawiając włączanie trybu wyłącznie przez ustawienia i listy witryn.

W skrócie

• Ataki wykorzystywały 0-day w silniku JavaScript IE (Chakra) oraz drugi exploit do eskalacji uprawnień poza przeglądarkę.
• Microsoft nie ujawnił CVE ani atrybucji, ale usztywnił IE mode: zniknęły szybkie przełączniki; uruchamianie wymaga dodania domeny do listy w ustawieniach/Politykach.
• IE jest oficjalnie wycofany od 15 czerwca 2022 r., a IE mode w Edge istnieje dla zachowania zgodności z dziedzictwem — i to on bywa dziś „duchem IE” w środowiskach korporacyjnych.

Kontekst / historia / powiązania

IE 11 został formalnie wycofany, ale IE mode pozwala na renderowanie starszych aplikacji (ActiveX, BHO itd.) w Edge przy użyciu silnika Trident/MSHTML właśnie po to, by przedsiębiorstwa nie musiały utrzymywać dwóch przeglądarek. Ta funkcja była i jest zależna od obecności komponentów IE w systemie i — zgodnie z dokumentacją — jest wspierana w środowiskach organizacji poprzez Enterprise Site List.

Analiza techniczna / szczegóły luki

Z opisu zespołu Microsoft Browser Vulnerability Research wynika, iż łańcuch ataku wyglądał następująco:

1. ofiara trafia na pozornie legalną stronę; 2) interfejs strony (np. flyout) nakłania do „przeładowania w IE mode”; 3) po przełączeniu, atakujący odpala 0-day w Chakra i uzyskuje RCE; 4) następnie wykorzystuje drugi exploit do EoP, przejmując pełną kontrolę nad urządzeniem. Krytycznym elementem jest opuszczenie piaskownicy Chromium poprzez wymuszenie starszego środowiska wykonawczego IE.

Zmiany w Edge obejmują usunięcie:

• dedykowanego przycisku paska narzędzi „Otwórz w IE mode”,
• pozycji w menu kontekstowym i w menu głównym,
  co zmniejsza powierzchnię nadużyć przez proste socjotechniczne „kliknij tutaj, by działało”. W praktyce IE mode uruchomisz teraz tylko przez Ustawienia → Default Browser oraz dopisanie danej domeny do IE mode pages list / firmowego Enterprise Site List.

Praktyczne konsekwencje / ryzyko

• Ryzyko przejęcia stacji roboczej po wymuszeniu IE mode (RCE+EoP) — zwłaszcza tam, gdzie stacje użytkowników mogą same „przełączać” tryb dla dowolnych stron.
• Obejście nowoczesnych mechanizmów Edge/Chromium (site isolation, nowocześniejsze mitigacje) przez cofnięcie się do modelu bezpieczeństwa IE.
• Wpływ na user experience: zniknięcie przycisków/skrótów może chwilowo utrudnić pracę zespołom korzystającym ze starych aplikacji, dopóki admini nie skonfigurują list witryn.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów IT / SecOps

1. Audyt użycia IE mode — sprawdź, które aplikacje naprawdę go wymagają; zinwentaryzuj domeny i dopisz tylko te niezbędne do Enterprise Site List (Intune/GPO).
2. Wyłącz „Allow sites to be reloaded in Internet Explorer mode” dla użytkowników, jeżeli nie ma krytycznej potrzeby; zezwolenia nadawaj wyłącznie przez polityki oraz centralną listę.
3. Twarde filtrowanie: proxy/NGFW/DNS — blokuj nieautoryzowane domeny próbujące wymuszać IE mode; monitoruj wzorce „przełączenia” (np. nietypowe żądania MSHTML/Trident).
4. Detekcja: alertuj na łańcuch zdarzeń Edge → IE mode → procesy potomne/LOLBins → eskalacja/EoP; koreluj z telemetrią EDR (uruchomienie iexplore.exe nie powinno występować, ale komponenty MSHTML/Chakra mogą być ładowane).
5. Segmentacja i zasada najmniejszych uprawnień na stacjach z zależnościami legacy; rozważ VDA/VDI lub izolację aplikacji (App-V, Windows Sandbox, IE-dependent app w kontenerze) jako pomost migracyjny.
6. Plan migracji: wyznacz deadliny na usunięcie zależności od ActiveX/BHO; przypominamy — IE 11 jest EoL od 15 czerwca 2022.

Dla użytkowników końcowych

• Nie „klikaj w flyouty” sugerujące przeładowanie w IE mode, chyba iż to zatwierdzona aplikacja firmowa z listy.
• Zgłaszaj wszelkie prośby o relaunch w IE mode spoza znanych serwisów (może to być socjotechnika).
• Aktualizuj Edge do najnowszej wersji i stosuj polityki firmowe.

Różnice / porównania z innymi przypadkami

W przeciwieństwie do dawnych kampanii wykorzystujących MSHTML (np. ataki na kontrolki ActiveX lub luki w renderowaniu dokumentów), obecny wektor nadużywał samego przejścia do IE mode w Edge, a następnie 0-day w Chakra. Microsoft zareagował zmianą UX/punktów wejścia (hardening funkcji), a nie publikacją konkretnego CVE, co jasno pokazuje, iż czynnik użytkownika (łatwość przełączenia) był krytyczną częścią łańcucha.

Podsumowanie / najważniejsze wnioski

• IE mode to konieczne zło dla części organizacji — i dlatego musi być ściśle kontrolowany listami witryn i politykami.
• Microsoft usunął szybkie przełączniki do IE mode; teraz wejście w tryb jest działaniem intencjonalnym i audytowalnym.
• Priorytetem powinno być wyeliminowanie zależności legacy oraz zabezpieczenie ścieżek migracji; do tego czasu — maksymalnie ograniczaj miejsca, gdzie IE mode może się w ogóle uruchomić.

Źródła / bibliografia

1. Microsoft Browser Vulnerability Research — Securing the Future: Changes to Internet Explorer Mode in Microsoft Edge (08.10.2025). (microsoftedge.github.io)
2. Microsoft Learn — What is Internet Explorer (IE) mode? (ostatnia aktualizacja: 18.07.2024). (Microsoft Learn)
3. The Hacker News — Microsoft Locks Down IE Mode After Hackers Turned Legacy Feature Into Backdoor (13.10.2025). (The Hacker News)
4. Microsoft Lifecycle — Internet Explorer 11 desktop application ended support… (15.06.2022). (Microsoft Learn)
5. Microsoft Support — Internet Explorer mode in Microsoft Edge (instrukcje użytkowe). (Microsoft Support)