保护未来:微软Edge浏览器IE模式的安全升级 | 微软浏览器漏洞研究
引言
数字威胁环境持续变化,攻击者不断寻找新的途径来危害用户和企业环境。因此,Edge浏览器安全团队必须保持警惕,适应新出现和不断演变的威胁。该团队最近收到情报,表明威胁行为者正在滥用Edge中的Internet Explorer(IE)模式来访问毫无戒心的用户设备。本文概述了对Edge中IE模式进行的响应式更改及其背后的原因。
IE模式:传统兼容性与现代安全的交汇
虽然大部分网络已转向现代标准,但仍有一小部分网站依赖传统技术,如ActiveX和Flash。这在商业应用、旧版安全摄像头界面和一些政府门户网站中尤为普遍,这些场景更新底层技术栈通常缓慢或不切实际。因此,微软Edge提供Internet Explorer模式,使用户可以在预选网站上完成任务,然后安全返回Edge。
然而,必须认识到Internet Explorer并非设计具备我们从现代基于Chromium的浏览器(如Edge)所期望的健壮架构和深度防御缓解措施。这使此类浏览器的用户面临现代产品明确设计来减轻的风险。
漏洞利用:Chakra及入口点滥用
2025年8月,Edge安全团队收到可靠情报,威胁行为者正在利用基本的社会工程学技术以及Internet Explorer的JavaScript引擎(Chakra)中未修补(0-day)漏洞来访问受害者设备。攻击者首先说服受害者导航至一个看似官方的欺骗性网站,然后使用页面上的弹出菜单请求用户在Internet Explorer模式下重新加载页面。攻击者随后利用Chakra(IE的JavaScript引擎)漏洞获得远程代码执行能力。最后,攻击者使用第二个漏洞将其权限提升出浏览器,从而完全控制受害者的设备。
此攻击向量尤其令人担忧,因为它通过回退到IE较旧的执行环境,绕过了Chromium中的许多安全增强功能。成功利用可能导致恶意软件安装、在企业网络内横向移动或敏感数据外泄。
我们的响应:限制IE模式访问
鉴于存在活跃利用的明确证据和用户面临的风险,Edge浏览器安全团队采取果断行动,移除了消费者设备在IE模式下加载页面的最高风险入口点。
消费者设备的更改
针对消费者设备实施了以下更改:
- 从版本141.0.3517.0开始:用户将不再在汉堡包/省略号菜单(即应用菜单)中看到“在IE模式下重新加载”的选项。
- 从版本142.0.3553.0开始:用户将不再看到添加工具栏按钮的选项,并且IE模式的工具栏按钮将被移除。
企业设备
企业设备由设备上是否配置了IE模式的组策略决定。从技术上讲,用户可以在自己的机器上配置这些组策略以实现相同的受管理设备行为。
对企业用户通过企业策略启用IE模式的逻辑未作更改。依赖IE模式运行传统应用的组织可以继续通过其现有策略配置进行管理。
消费者设备的替代访问方式
对于确实需要Internet Explorer兼容性的非企业用户,IE模式仍然可用,但现在必须通过Edge设置逐站点显式启用:
- 导航至“设置”>“默认浏览器”。
- 找到标记为“允许在Internet Explorer模式下重新加载网站”的选项,并将其设置为“允许”。
- 启用此设置后,将需要IE兼容性的特定站点添加到Internet Explorer模式页面列表。
- 重新加载站点;它现在应在IE模式下以所需兼容性打开。
这种方法确保了使用传统技术加载网页内容的决定更加有意为之。将站点添加到站点列表所需的额外步骤,即使对于最坚定的攻击者来说也是一个重大障碍。
我使用IE模式,应该怎么做?
Internet Explorer 11已于2022年6月15日正式终止生命周期,并且由于它包含在微软Edge中,除关键安全更新外,微软不再提供官方支持。微软强烈建议用户尽快迁移远离传统网络技术,以受益于现代浏览器提供的增强安全性、更高可靠性和改进性能。要检查设备上是否启用了Internet Explorer模式,请打开Edge,导航至“设置”>“默认浏览器”。在此处可以确保其启用或禁用。
结论
微软Edge持续演进,在传统支持需求与健壮的现代安全之间取得平衡。通过限制对IE模式的随意访问,Edge浏览器安全团队正在降低被利用的风险,同时为真实的业务需求提供清晰、可审计的路径。