Por Mid 
Microsoft refuerza Edge tras detectar un exploit en el modo Internet Explorer
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Media
Conclusiones clave
- Microsoft corrige una vulnerabilidad en el modo IE de Edge para evitar que atacantes tomen control del sistema.
- El modo IE, diseñado para soportar aplicaciones obsoletas, reactiva componentes sin las protecciones actuales del navegador.
- Accesos directos al modo IE fueron eliminados para usuarios domésticos, aunque las empresas pueden gestionarlo a través de políticas.
- La compañía instó a adoptar estándares web modernos para mejorar la seguridad.
- Internet Explorer dejará de recibir actualizaciones, excepto parches críticos dentro de Edge.
Índice
- Modo IE en Edge
- Vulnerabilidad detectada
- Respuesta de Microsoft
- Conclusiones y la importancia de los estándares modernos
- Referencias
Modo IE en Edge
Microsoft ha implementado una solución crucial en Edge, corrigiendo una vulnerabilidad que existía en su modo de compatibilidad con Internet Explorer (IE). Esta función fue diseñada para proporcionar soporte a las aplicaciones corporativas más antiguas, pero, lamentablemente, la falla permitía a los atacantes ejecutar código de forma remota y tomar control del sistema, resurgiendo un problema que creíamos abordado con la desaparición de Internet Explorer. Aunque este último fue oficialmente descontinuado en 2022, una buena parte de las empresas y organismos públicos todavía dependen de portales que utilizan tecnologías obsoletas como ActiveX y Flash. Para facilitar su utilización, Microsoft introdujo el modo IE en Edge, creando un entorno que garantiza el acceso a estos sistemas mientras se emplea un navegador moderno.
Vulnerabilidad detectada
Sin embargo, este modo reactivó componentes del motor Chakra, que fue el núcleo de Internet Explorer y que ya no posee las protecciones actuales. En agosto de este año, el equipo de seguridad de Edge identificó una campaña de ingeniería social que empleaba sitios web falsos para engañar a los usuarios y forzar la activación del modo IE. A partir de ahí, los atacantes podían aprovechar una vulnerabilidad de día cero (0-day), otorgándoles control total del sistema.
Respuesta de Microsoft
En respuesta a esta amenaza, Microsoft tomó la medida de eliminar los accesos directos al modo IE, incluyendo botones y opciones del menú, para los usuarios domésticos. No obstante, las empresas tienen la opción de seguir gestionándolo a través de políticas de grupo o mediante Microsoft Intune.
Conclusiones y la importancia de los estándares modernos
La compañía subraya la importancia de adoptar estándares web modernos sin demora. Cabe mencionar que Internet Explorer dejará de recibir actualizaciones, a excepción de los parches críticos que se integren en Edge. Con esta acción, Microsoft busca encontrar un equilibrio entre la compatibilidad con aplicaciones heredadas y la seguridad, cerrando de manera definitiva una brecha que muchos consideraban archivada.
Referencias
- Microsoft Security Blog
- Cisco Security Center FAQ
- Cybersecurity and Infrastructure Security Agency (CISA)
- Security Weekly