**Microsoft restringe el modo Internet Explorer en Edge tras ataques con exploits zero-day en Chakra**
—
### 1. Introducción
Microsoft ha anunciado la restricción inmediata del acceso al modo Internet Explorer (IE Mode) en su navegador Edge, a raíz del descubrimiento de ataques activos que explotan vulnerabilidades zero-day en el motor JavaScript Chakra. Este movimiento, orientado a la protección de los usuarios empresariales y la infraestructura crítica, supone un giro en la estrategia de compatibilidad heredada, y pone de manifiesto la persistencia de amenazas avanzadas orientadas a componentes legacy en entornos corporativos.
—
### 2. Contexto del Incidente o Vulnerabilidad
El modo IE de Microsoft Edge fue diseñado para facilitar la transición de aplicaciones y sitios web empresariales que aún dependen de tecnologías antiguas basadas en Internet Explorer, permitiendo su ejecución dentro de Edge bajo un entorno controlado. Sin embargo, la dependencia de componentes heredados como el motor Chakra, utilizado históricamente en Internet Explorer, ha mantenido abiertas ciertas superficies de ataque que ya se consideraban obsoletas.
En las últimas semanas, equipos de Threat Intelligence y respuesta a incidentes han observado campañas de explotación activa dirigidas a organizaciones que mantienen habilitado el modo IE en Edge. Los atacantes, empleando técnicas avanzadas, han logrado comprometer endpoints a través de vulnerabilidades sin parchear en Chakra, incrementando exponencialmente el riesgo para entornos que aún dependen de este modo de compatibilidad.
—
### 3. Detalles Técnicos
#### Identificadores y Exploits
– **CVE asociados**: El principal vector de ataque identificado es la vulnerabilidad **CVE-2024-38112**, un zero-day crítico en el motor Chakra de JavaScript, que permite la ejecución remota de código (RCE) al procesar contenido web malicioso.
– **Vectores de ataque**: Los atacantes están distribuyendo exploits a través de documentos ofimáticos con enlaces incrustados a sitios maliciosos o mediante campañas phishing que inducen la apertura de URLs específicas en modo IE.
– **TTPs (MITRE ATT&CK)**:
– **T1190 (Exploit Public-Facing Application)**
– **T1203 (Exploitation for Client Execution)**
– **T1566.002 (Spearphishing Link)**
– **Frameworks y herramientas**: Se han identificado payloads generados con **Metasploit** y **Cobalt Strike**, así como scripts de explotación personalizados que aprovechan el motor Chakra para elevar privilegios y establecer persistencia.
– **Indicadores de compromiso (IoC)**:
– Hashes de archivos DLL maliciosos inyectados en procesos iexplore.exe
– Direcciones IP y dominios asociados a C2 (Command & Control) observados en campañas de spear phishing
– Firmas de comportamiento anómalo en procesos Edge/IE Mode
—
### 4. Impacto y Riesgos
La explotación de esta vulnerabilidad afecta principalmente a organizaciones que mantienen aplicaciones legacy y entornos híbridos donde el modo IE sigue habilitado. Según datos internos de Microsoft y telemetría de partners, hasta un **13% de los despliegues empresariales de Edge aún tienen habilitado IE Mode**. El riesgo de ejecución remota de código implica un potencial de acceso total al endpoint, robo de credenciales, movimiento lateral y despliegue de ransomware.
En términos económicos, los incidentes asociados a la explotación de vulnerabilidades zero-day en navegadores suelen generar pérdidas de entre **100.000 y 3 millones de euros** por brecha, dependiendo del grado de compromiso y la sensibilidad de los datos afectados. Además, las implicaciones de cumplimiento normativo bajo **GDPR** y la inminente **Directiva NIS2** elevan la exposición legal y reputacional de las empresas afectadas.
—
### 5. Medidas de Mitigación y Recomendaciones
Microsoft ha procedido a restringir por defecto el acceso al modo IE en Edge. Se recomienda:
– **Deshabilitar el modo IE** en todos los endpoints salvo en aquellos estrictamente necesarios y bajo control de acceso reforzado.
– **Actualizar Edge y Windows** a las últimas versiones, aplicando los parches de seguridad tan pronto estén disponibles.
– Implementar reglas de detección específicas en soluciones EDR/XDR para identificar procesos anómalos ligados a iexplore.exe o comportamientos de inyección en Chakra.
– Revisar y auditar sitios y aplicaciones que requieran IE Mode, planificando su migración a tecnologías modernas (HTML5, WebAssembly…).
– Formar a los usuarios en la identificación de intentos de phishing y enlaces sospechosos.
—
### 6. Opinión de Expertos
Analistas de ciberseguridad como Kevin Beaumont y equipos de investigación de Mandiant han advertido repetidamente sobre los riesgos de mantener componentes legacy activos en infraestructura crítica. “El modo IE es una puerta de entrada para atacantes que buscan explotar la deuda técnica en las organizaciones”, afirma Beaumont. Por su parte, Microsoft ha reiterado la urgencia de avanzar en la retirada total de tecnología heredada, subrayando que las amenazas sobre navegadores legacy han evolucionado más rápido que las soluciones defensivas tradicionales.
—
### 7. Implicaciones para Empresas y Usuarios
Para los CISOs y responsables de seguridad, el incidente evidencia la necesidad de priorizar la migración de aplicaciones legacy y reforzar la segmentación de redes donde sea imprescindible mantener compatibilidad. Los SOC deben actualizar sus playbooks de respuesta para contemplar escenarios de explotación en navegadores, mientras que los administradores de sistemas han de revisar políticas de grupo y configuración de endpoints para restringir el acceso a IE Mode.
A nivel de cumplimiento, las empresas afectadas podrían enfrentar sanciones significativas bajo GDPR y en el marco de la nueva NIS2, en caso de que una brecha derive en filtración de datos personales o interrupción de servicios esenciales.
—
### 8. Conclusiones
La restricción de acceso al modo Internet Explorer en Edge marca un hito en la estrategia de Microsoft hacia la eliminación de tecnologías heredadas en sus productos. La explotación activa de vulnerabilidades zero-day en Chakra subraya el interés continuado de los actores de amenazas en atacar superficies legacy. La respuesta ágil y la defensa en profundidad, junto con la migración acelerada a tecnologías modernas, son ahora más críticas que nunca para proteger los activos empresariales y cumplir con los requisitos regulatorios actuales y futuros.
(Fuente: www.bleepingcomputer.com)