微軟 (Microsoft) 在 2025 年 8 月接獲可靠情資後,緊急調整 Edge 瀏覽器中的 Internet Explorer 模式 (IE mode) 存取方式。資安研究人員發現,駭客正利用這項傳統相容功能,結合零時差漏洞與社交工程手法入侵使用者裝置並取得完全控制權。
攻擊手法:雙重漏洞鏈突破防護
Microsoft Edge 安全團隊負責人 Gareth Evans 表示,威脅行為者透過偽造官方外觀的網站,誘導受害者在頁面上點擊提示元素,將網頁重新載入至 IE 模式。一旦切換至 IE 模式,攻擊者即利用 Chakra JavaScript 引擎中尚未修補的零時差漏洞,取得遠端程式碼執行權限。
駭客接著利用第二個漏洞提升權限並逃逸瀏覽器沙箱,最終完全掌控受害裝置。Microsoft 並未透露漏洞的詳細技術資訊或 CVE 編號,僅證實 Chakra 引擎的漏洞目前仍未修補。
Microsoft 瀏覽器漏洞研究團隊指出,此攻擊手法特別值得關注,因為它繞過 Chromium 與 Edge 內建的現代安全防護機制,利用較不安全的IE環境突破瀏覽器限制,使攻擊者得以執行惡意軟體部署、橫向移動與資料竊取等後續攻擊行動。
安全政策調整:移除便捷啟動選項
為降低風險,Microsoft 已移除 IE 模式的多個便捷啟動方式,包括專用工具列按鈕、右鍵選單,以及漢堡選單 (hamburger menu) 中的相關項目。
使用者現在若要啟用 IE 模式,必須執行以下步驟:
- 前往「設定」>「預設瀏覽器」
- 找到「允許在 Internet Explorer 模式中重新載入網站」選項並設定為「允許」
- 將需要使用 IE 相容性的特定網站加入「Internet Explorer 模式頁面」清單
- 重新載入網站
Microsoft 表示,此變更確保 IE 模式的啟用是「明確且有意識的使用者行為」。使用者必須手動建立網站白名單,這項額外步驟將大幅提高攻擊者門檻。
企業環境不受影響 但應加速技術遷移
此次限制措施不適用於商業用戶。企業組織將繼續透過企業政策 (enterprise policies) 設定並使用 IE 模式,維持既有的管理彈性。
儘管如此,Microsoft 仍提醒使用者,應儘速從 IE 的傳統網頁技術遷移至現代產品。現代瀏覽器不僅提供更佳的安全性,同時具備更高的可靠性與效能表現。
Internet Explorer 雖已於 2022 年 6 月 15 日正式終止支援,但 Microsoft Edge 仍保留 IE 模式以維持與舊有技術 ,如 ActiveX 與 Flash的相容性。部分企業應用程式與政府入口網站仍依賴這些傳統技術運作。
此次攻擊事件凸顯,即使已終止支援的傳統技術,只要仍存在於現代產品中作為相容功能,就可能成為駭客利用的攻擊面。對於仍需使用 IE 模式的組織而言,建立嚴格的網站白名單管理機制,已成為不可或缺的安全措施。