Contexto da vulnerabilidade
O controle WebBrowser legado do Internet Explorer ainda pode ser explorado para transformar um único clique do usuário em execução remota de código (RCE) completa em sistemas Windows, mesmo após a retirada oficial do navegador. A PT Security observou que, ao explorar o modelo de zonas do IE, o tratamento do Mark of the Web (MOTW) e componentes poderosos de COM/ActiveX, os atacantes podem transformar interações aparentemente inofensivas do usuário em execução de código no host.
O problema central reside no fato de que o mecanismo mshtml do IE e o controle WebBrowser ainda estão embutidos em muitos aplicativos de desktop, especialmente ferramentas VB, .NET e C/C++ mais antigas com interfaces web locais em http://localhost. Esses aplicativos frequentemente carecem de sanitização robusta de HTML e JavaScript, tornando o XSS um ponto de partida realista.
Análise técnica da cadeia de ataque
Uma falha de tempo sutil na forma como o IE lida com operações de janela e diálogos permite que JavaScript manipulado, executado sob http://localhost, abra arquivos HTML locais sem os prompts de segurança usuais. O Microsoft corrigiu o comportamento direto de "abrir arquivo local de script localhost" apenas após pesquisadores demonstrarem que ele poderia servir como o primeiro pivô em uma cadeia de múltiplos estágios.
Com esse pivô, o próximo objetivo do atacante é contornar o MOTW para que o conteúdo local malicioso não esteja mais restrito pelas verificações padrão do Windows "Abrir Arquivo – Aviso de Segurança". Para fazer isso, a cadeia combina IE e Microsoft Edge. No XSS localhost, o script abre uma janela do Microsoft Edge para uma URL controlada pelo atacante.
Sob as condições certas, o Edge baixará um payload HTML diretamente para o diretório Downloads do usuário sem aplicar uma tag MOTW. O controle WebBrowser do IE pode então ser redirecionado da página localhost para esse arquivo local recém-baixado, transformando o que começou como um payload remoto em um documento HTML local com aparência confiável, com scripting habilitado e sem restrições MOTW.
Impacto e alcance da exploração
Com o script agora executando em um contexto local privilegiado, o atacante instancia objetos COM de alto risco via ActiveX, como WScript.Shell. Esses objetos são historicamente conhecidos por permitir execução arbitrária de comandos quando expostos a entrada não confiável. O IE exibe um aviso de segurança do ActiveX quando tais objetos são criados a partir de HTML local. No entanto, uma vez que o usuário clica em "Sim", a página pode lançar comandos como calc.exe ou um dropper de malware completo.
Na prática, essa cadeia produz um "RCE de dois cliques": um clique inicial que aciona o download do Edge, seguido por um segundo clique para aprovar o prompt do ActiveX dentro do aplicativo legado. Engenharia social e design de interface são usados para fazer com que ambos os cliques pareçam necessários ou inofensivos.
Medidas de mitigação recomendadas
Os defensores devem tratar qualquer uso do controle WebBrowser do IE como um risco legado. A substituição por controles de renderização web modernos e sandboxados é crítica. A eliminação de XSS em interfaces web localhost, o bloqueio de ActiveX/COM via política e o reforço das regras de execução baseadas em MOTW são passos essenciais para fechar essa superfície de ataque.
Organizações devem auditar seus aplicativos internos que utilizam controles WebBrowser e priorizar a migração para tecnologias mais seguras. A implementação de políticas de grupo para restringir a execução de scripts locais e a desativação de ActiveX em ambientes não confiáveis são medidas imediatas que podem reduzir significativamente o risco.
O que os CISOs devem fazer imediatamente
1. Inventariar todos os aplicativos internos que utilizam o controle WebBrowser do Internet Explorer. 2. Implementar políticas de grupo para restringir a execução de scripts locais e ActiveX. 3. Priorizar a migração de aplicativos legados para controles de renderização web modernos. 4. Treinar usuários para identificar prompts de segurança suspeitos, mesmo em aplicativos internos. 5. Monitorar logs de execução de scripts e chamadas de API do ActiveX para detectar tentativas de exploração.
Perguntas frequentes
É necessário ter o Internet Explorer instalado para ser afetado?
Não. O controle WebBrowser é um componente legado que pode ser usado por aplicativos de terceiros sem a necessidade do navegador completo do IE estar instalado.
Qual é a severidade desta vulnerabilidade?
A severidade é crítica devido à capacidade de execução remota de código com privilégios do usuário, o que pode levar ao comprometimento total do sistema.
Existe uma correção oficial da Microsoft?
A Microsoft corrigiu o comportamento direto de abrir arquivos locais, mas a cadeia de ataque descrita pela PT Security explora limitações residuais e interações entre componentes que podem não ter sido totalmente mitigadas em todas as configurações.