Lợi dụng Internet Explorer Mode để tấn công người dùng

Vừa qua Microsoft đã cảnh báo về một phương thức khai thác mới của tin tặc nhắm tới người dùng phổ thông thông qua khai thác chế độ Internet Explorer Mode. Các chuyên gia an ninh mạng cảnh báo, lỗ hổng trên có thể cho phép tin tặc thoát khỏi sandbox của trình duyệt Microsoft Edge, đồng thời tiếp cận được các dữ liệu nhạy cảm trên hệ thống người dùng cũng như cho phép thực thi mã từ xa và chiếm được quyền SYSTEM của hệ thống.

Thông tin chi tiết

Mặc dù thời điểm hiện nay phần lớn các trang web đã chuyển sang các tiêu chuẩn hiện đại, tuy nhiên vẫn còn tồn tại một số ít các trang web phụ thuộc vào các công nghệ cũ như ActiveX và Flash. Điều này đặc biệt phổ biến trong các ứng dụng doanh nghiệp, các interface của camera an ninh cũ hay các cổng thông tin chính phủ, nơi việc cập nhật các công nghệ thường chậm trễ hơn hoặc ít có khả năng thực hiện.

Vì lý do đó, Microsoft Edge cung cấp chế độ Internet Explorer mode để người dùng thuộc nhóm trên có thể hoàn thành công việc của họ trên các trang web đặc biệt trong khi vẫn có thể sử dụng các công nghệ mới và duyệt web an toàn. Tuy nhiên, chức năng Internet Explorer mode không được thiết kế với kiến trúc vững chắc, cũng như không được áp dụng các biện pháp bảo mật cao và hiện đại dựa trên nhân Chromium như Microsoft Edge Chromium. Điều này đặt ra một mối nguy hiểm tiềm tàng cho người dùng, khiến họ phải đối mặt với những rủi ro có thể bị khai thác vào yếu điểm trên của tính năng Internet Explorer mode.

Mới đây, đội ngũ chuyên gia bảo mật thuộc Microsoft đã thông báo về một chiến dịch tấn công người dùng nhắm tới tính năng Internet Explorer mode. Nhóm tin tặc đã khéo léo kết hợp khai thác người dùng thông qua social engineering cũng như các lỗ hổng zero-day tồn tại trong JavaScript engine của Internet Explorer (Chakra) để chiếm quyền truy cập vào thiết bị của nạn nhân.

Chuỗi tấn công của tin tặc như sau:

1. Tin tặc tạo một trang web giả mạo, thông qua kỹ thuật social engineering nhằm thuyết phục người dùng truy cập tới trang web này.
2. Chèn một menu flyout trong trang web giả mạo trên, yêu cầu người dùng reload lại trang web. Một khi người dùng chấp nhận reload lại trang web, ngay lập tức Microsoft Edge được chuyển sang môi trường Chakra kém an toàn và dễ bị khai thác.
3. Các mã độc khai thác lỗ hổng zero-day được ẩn trong trang web giả mạo tiến hành khai thác môi trường Chakra trên máy nạn nhân.
4. Sau khi khai thác thành công Chakra, tin tặc tiếp tục triển khai các đoạn mã khai thác nhằm thoát khỏi sandbox của trình duyệt và nâng cao đặc quyền trên hệ thống nạn nhân. Một khi thành công chiếm được quyền SYSTEM của hệ thống, tin tặc có thể tự do triển khai các phần mềm độc hại, đánh cắp dữ liệu nhạy cảm của nạn nhân hoặc di chuyển ngang trong vùng mạng nội bộ.

Khắc phục & Khuyến nghị

Ngay lập tức đội ngũ các chuyên gia bảo mật thuộc Microsoft đã tiến hành vô hiệu hoá tính năng “Reload in Internet Explorer mode” đối với người dùng không phải doanh nghiệp. Đối với khách hàng doanh nghiệp, quản trị viên có thể dễ dàng quản lý, vô hiệu hoá tính năng này trong nội bộ.

Đối với người dùng phổ thông, nếu như vẫn có nhu cầu sử dụng có thể thực hiện các bước sau để kích hoạt lại tính năng trên:

1. Mở Edge và đi tới Cài đặt > Trình duyệt mặc định.
2. Tìm kiếm mục có tên “Cho phép các trang web được tải lại trong chế độ Internet Explorer” và đặt nó thành “Cho phép”.
3. Sau khi bật cài đặt này, thêm các trang web cụ thể yêu cầu tương thích với IE vào danh sách các trang web chế độ Internet Explorer.
4. Tải lại trang, nó sẽ mở trong chế độ IE với tính năng tương thích yêu cầu.

Việc thêm các trang web cụ thể vào một danh sách đảm bảo sự an toàn cho người dùng khi truy cập các trang web chạy trên nền tảng công nghệ cũ, gián tiếp vô hiệu hoá khả năng tiếp cận tới các trang web giả mạo độc hại của tin tặc tạo ra. Ngoài ra, người dùng cần nâng cấp và cập nhật hệ thống lên các công nghệ và phiên bản phần mềm mới nhất để nhận được các bản vá bảo mật đầy đủ nhất, giảm thiểu khả năng đối diện với các rủi ro liên quan tới mất an toàn thông tin trong tương lai.

Tham khảo

1. https://microsoftedge.github.io/edgevr/posts/Changes-to-Internet-Explorer-Mode-in-Microsoft-Edge/