Microsoft, bilgisayar korsanlarının Edge tarayıcısındaki Internet Explorer (IE) modunu istismar ettiğini belirlemesinin ardından bu özelliğe erişimi kısıtladığını duyurdu. Saldırganların, Chakra JavaScript motorunda bulunan ve henüz yaması yayınlanmamış bir sıfırıncı gün (zero-day) güvenlik açığından yararlanarak hedef cihazlarda uzaktan kod çalıştırma yetkisi elde ettiği ortaya çıktı. Bu saldırı zinciri, Edge’in eski web siteleriyle uyumluluk için sunduğu IE modu üzerinden gerçekleştiriliyordu.
Microsoft Edge Güvenlik Ekibi Lideri Gareth Evans’a göre, ekip Ağustos ayında saldırganların IE modunu kötüye kullanarak kullanıcıların cihazlarına erişim sağladığına dair bir istihbarat aldı. Saldırganlar, sosyal mühendislik yöntemleriyle hedeflerini sahte ancak resmi görünümlü bir web sitesine yönlendiriyordu. Bu web sitesi, kullanıcıları bir arayüz uyarısıyla sayfayı IE modunda yeniden yüklemeye teşvik ediyordu.
Kullanıcı IE moduna geçtikten sonra, saldırganlar ilk olarak Chakra’daki sıfırıncı gün açığını kullanarak sisteme sızıyordu. Ardından, ikinci bir güvenlik açığından faydalanarak yetkilerini artırıyor ve tarayıcının sanal koruma alanından (sandbox) kaçarak cihazın tam kontrolünü ele geçiriyorlardı. Evans, saldırıda kullanılan güvenlik açıklarının kodlarını veya teknik detaylarını paylaşmadı ancak Chakra’daki açığın hala açık olduğunu doğruladı.
Internet Explorer tarayıcısına yönelik resmi destek 15 Haziran 2022 tarihinde sona ermişti. Ancak Microsoft Edge, bazı kurumsal uygulamalar ve devlet portalları tarafından hala kullanılan ActiveX ve Flash gibi eski teknolojilerle uyumluluk sağlamak amacıyla bir IE modu içermeye devam ediyor. Saldırganların istismar ettiği de tam olarak bu uyumluluk özelliği oldu.
Saldırı riskini azaltmak için Microsoft, Edge’de IE moduna hızlı erişim sağlayan yöntemleri kaldırdı. Bu kapsamda, araç çubuğunda yer alan özel IE modu düğmesi, sağ tık menüsündeki “Internet Explorer modunda yeniden yükle” seçeneği ve ana menüdeki ilgili kısayollar devre dışı bırakıldı. Bu değişiklik, IE modunun yalnızca bilinçli bir kullanıcı kararıyla etkinleştirilmesini sağlamayı hedefliyor.
Yeni düzenlemeyle birlikte, kullanıcıların IE modunu kullanabilmesi için manuel bir yapılandırma yapması gerekiyor. Kullanıcılar, Ayarlar > Varsayılan Tarayıcı menüsüne giderek “Sitelerin Internet Explorer modunda yeniden yüklenmesine izin ver” seçeneğini etkinleştirmeli ve ardından IE modunda açılacak web sitelerinin tam adreslerini listeye manuel olarak eklemelidir. Bu liste tabanlı yaklaşım, saldırganların rastgele bir siteyi IE modunda açtırmasını zorlaştırıyor.
Microsoft, bu kısıtlamaların kurumsal politikalar (enterprise policies) üzerinden IE modunu yapılandıran ticari kullanıcıları etkilemediğini belirtti. Şirket politikalarıyla yönetilen cihazlar, IE modunu önceden olduğu gibi kullanmaya devam edebilecek. Bununla birlikte Microsoft, tüm kullanıcılara Internet Explorer’ın eski teknolojilerinden uzaklaşarak daha güvenli, güvenilir ve yüksek performanslı modern web platformlarına geçmeleri yönündeki tavsiyesini yineledi.
