Microsoft si è trovata a dover correre ai ripari dopo aver scoperto che gruppi di criminali informatici stavano sfruttando una falla zero-day nel motore JavaScript Chakra per compromettere i dispositivi degli utenti attraverso una funzionalità apparentemente innocua del browser Edge in Windows. La risposta della società di Redmond è stata drastica: limitare fortemente l'accesso alla modalità Internet Explorer integrata nel browser.
La tecnica d'attacco si è rivelata particolarmente sofisticata. Gli hacker hanno creato siti web dall'aspetto ufficiale e credibile che, attraverso elementi dell'interfaccia studiati ad arte, inducevano le vittime a caricare la pagina proprio in modalità IE. Una volta attivata questa funzione, i malintenzionati potevano sfruttare la vulnerabilità di Chakra per eseguire codice da remoto sul dispositivo bersaglio.
Il quadro della minaccia si complica ulteriormente se si considera che l'attacco non si fermava alla prima falla. Gareth Evans, responsabile del team di sicurezza di Edge, ha spiegato che dopo aver sfruttato il bug in Chakra, gli aggressori utilizzavano una seconda vulnerabilità per elevare i privilegi e uscire dai confini del browser, ottenendo così il controllo completo del sistema compromesso. Microsoft ha scelto di non rivelare gli identificatori tecnici delle vulnerabilità, confermando che la falla in Chakra rimane tuttora senza patch.
La modalità Internet Explorer in Edge esiste per garantire la compatibilità con tecnologie ormai obsolete come ActiveX e Flash, ancora utilizzate da alcune applicazioni aziendali di vecchia generazione e da portali governativi. Nonostante il supporto ufficiale per Internet Explorer sia terminato il 15 giugno 2022, questa funzionalità di retrocompatibilità è rimasta attiva nel browser moderno di Microsoft, creando però una superficie d'attacco inaspettata.
Le contromisure adottate dalla casa di Redmond sono state immediate e radicali. Microsoft ha rimosso tutti i metodi che permettevano di attivare facilmente la modalità IE, eliminando il pulsante dedicato dalla barra degli strumenti, l'opzione dal menu contestuale e le voci dal menu principale. Ora gli utenti che desiderano utilizzare questa funzionalità devono navigare manualmente attraverso Impostazioni, selezionare Browser predefinito, scegliere Consenti e definire esplicitamente quali pagine dovrebbero essere caricate utilizzando Internet Explorer.
L'obiettivo dichiarato è trasformare l'attivazione della modalità IE in un'azione deliberata e consapevole dell'utente, riducendo drasticamente le possibilità di successo degli attacchi basati sull'ingegneria sociale. L'introduzione di una lista autorizzata di siti web che possono essere caricati in modalità IE rappresenta un ulteriore strato di protezione, rendendo estremamente complesso per gli attaccanti portare a termine i loro tentativi di compromissione.
È importante sottolineare che queste restrizioni non si applicano agli utenti aziendali, che continueranno a utilizzare la modalità IE secondo le configurazioni stabilite attraverso le policy enterprise. Tuttavia, Microsoft ha colto l'occasione per ricordare ancora una volta agli utenti l'importanza di migrare dalle tecnologie web obsolete di Internet Explorer verso prodotti moderni che offrono maggiore sicurezza, affidabilità superiore e prestazioni migliorate.