Hacker khai thác lỗi zero-day trong IE Mode để kiểm soát thiết bị người dùng

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
116
1.179 bài viết
Hacker khai thác lỗi zero-day trong IE Mode để kiểm soát thiết bị người dùng
WhiteHat Team
Giữa lúc Internet Explorer (IE) đã chính thức “nghỉ hưu”, một chiến dịch tấn công mạng tinh vi mới lại bất ngờ khai thác chính tính năng IE Mode trong trình duyệt Microsoft Edge, vốn được tạo ra để giúp người dùng truy cập các trang web cũ.

1760431565760.png

Chiến dịch tinh vi này xuất hiện vào tháng 8/2025 lợi dụng tính năng Internet Explorer (IE) mode trong Microsoft Edge. Về cơ bản, kẻ tấn công không đánh thẳng vào Chrome/Edge hiện đại mà dụ nạn nhân chuyển trang sang IE mode (môi trường cũ, yếu về bảo mật), rồi kích hoạt lỗi zero-day trong Chakra (máy thực thi JavaScript của IE) để chiếm quyền điều khiển, cho thấy tin tặc đang ngày càng sáng tạo khi biết cách biến một công cụ tương thích tưởng như vô hại thành vũ khí tấn công lợi hại.

Hacker đã lợi dụng IE Mode như thế nào?​

Bước 1: Giăng bẫy tâm lý, dẫn dụ người dùng tự chuyển sang IE Mode​

Tin tặc đầu tiên dựng lên các trang web giả mạo trông giống hệt các trang chính thống, như: Cổng dịch vụ công, phần mềm doanh nghiệp hay trang camera an ninh, vốn thường yêu cầu dùng IE để hiển thị chính xác.

Khi người dùng truy cập, một thông báo bật lên (flyout notification) sẽ xuất hiện, yêu cầu họ “tải lại trang bằng chế độ Internet Explorer để tương thích tốt hơn”.

Hành động tưởng chừng vô hại này lại khiến trình duyệt chuyển từ môi trường an toàn của Edge sang nền IE lỗi thời, nơi các lớp phòng vệ bảo mật gần như không còn.

Bước 2: Khai thác lỗ hổng zero-day trong nhân JavaScript của IE​

Ngay khi người dùng kích hoạt IE Mode, mã độc zero-day sẽ được kích hoạt, khai thác lỗ hổng trong Chakra Engine - bộ xử lý JavaScript cũ của Internet Explorer.

Lỗ hổng này cho phép tin tặc chèn và thực thi mã độc từ xa, chiếm quyền điều khiển trình duyệt.

Bước 3: Leo thang đặc quyền - chiếm toàn quyền điều khiển hệ thống​

Sau khi đã chiếm quyền trong môi trường trình duyệt, kẻ tấn công triển khai payload thứ hai để thoát khỏi “hộp cát” (sandbox) bảo vệ của Edge.
Từ đó, chúng có thể:
  • Cài đặt phần mềm gián điệp hoặc mã độc tống tiền,
  • Truy cập dữ liệu hệ thống,
  • Di chuyển sang các máy khác trong cùng mạng doanh nghiệp,
  • Đánh cắp thông tin nhạy cảm.
Toàn bộ quá trình này diễn ra âm thầm, không cảnh báo, khiến người dùng khó có thể nhận biết.

Theo Microsoft, nhóm tấn công này nhắm vào các tổ chức vẫn còn phụ thuộc vào công nghệ cũ như:
  • Ứng dụng doanh nghiệp nội bộ sử dụng ActiveX,
  • Hệ thống quản lý camera hoặc thiết bị an ninh cũ,
  • Một số cổng thông tin hành chính vẫn yêu cầu chạy bằng IE.
Đây là đối tượng dễ bị tổn thương nhất, bởi họ buộc phải giữ IE Mode để truy cập hệ thống, trong khi cơ chế bảo vệ hiện đại của Edge không còn phát huy tác dụng trong môi trường này.

Cuộc tấn công này được đánh giá nghiêm trọng vì:
  • Khai thác zero-day chưa được vá trong môi trường cũ,
  • Cho phép chiếm toàn quyền điều khiển máy tính,
  • Dễ dàng lan rộng trong mạng nội bộ doanh nghiệp,
  • Có thể dẫn đến rò rỉ dữ liệu hoặc mã độc tống tiền quy mô lớn.
Nói cách khác, IE Mode đang trở thành “cánh cửa hậu” (backdoor) hợp pháp mà hacker có thể lợi dụng.

Ngay sau khi phát hiện chiến dịch, Microsoft đã triển khai các biện pháp khẩn cấp, bao gồm:
  • Giới hạn quyền truy cập IE Mode,
  • Gỡ bỏ các phím tắt và menu ngữ cảnh cho phép chuyển chế độ nhanh,
  • Duy trì hỗ trợ IE Mode chỉ cho doanh nghiệp có chính sách quản trị rõ ràng, tránh người dùng cá nhân tự bật chế độ này.
Để bảo vệ trước hình thức tấn công mới này, chuyên gia khuyến cáo:
  • Không truy cập các trang yêu cầu mở bằng IE Mode, trừ khi đó là hệ thống nội bộ được kiểm soát chặt chẽ.
  • Vô hiệu hóa IE Mode nếu không cần thiết.
  • Cập nhật Microsoft Edge và Windows thường xuyên để nhận bản vá mới nhất.
  • Đào tạo nhân viên nhận biết các cảnh báo và kỹ thuật lừa đảo liên quan đến “tương thích trình duyệt”.
  • Chuyển đổi dần sang nền tảng hiện đại, thay vì tiếp tục phụ thuộc vào công nghệ cũ như ActiveX hay Flash.
Một tính năng được tạo ra để hỗ trợ công việc, nếu không được quản lý đúng cách, có thể trở thành cửa ngõ cho hacker xâm nhập hệ thống. Trong kỷ nguyên số, việc duy trì những công nghệ lỗi thời chẳng khác nào giữ lại cánh cửa mở sẵn cho kẻ xấu, chỉ còn là vấn đề thời gian trước khi chúng bước vào.
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • CVE-2025-21293: Lỗ hổng Active Directory cho phép hacker chiếm trọn domain controller
  • Lỗ hổng trong SAP S/4HANA: Hacker có thể kiểm soát toàn bộ ERP chỉ bằng User thường
  • Lỗ hổng Securden PAM cho phép hacker chiếm quyền hệ thống và đánh cắp mật khẩu
  • CVE-2024-53141: Lỗ hổng Linux Kernel cho phép hacker chiếm quyền root qua Netfilter ipset
  • Lỗ hổng 10 điểm trong Cisco, hacker có thể chiếm quyền từ xa không cần đăng nhập
  • Hacker lợi dụng công cụ Windows “vượt rào” UAC, chiếm quyền quản trị hệ thống
    • Thẻ
    internet explorer javascript microsoft
    Bên trên