Исследователи утверждают, что они нашли способ использовать drive-by эксплоиты даже когда жертвы пользуются последними версиями Internet Explorer с защитой Protected Mode (защищенный режим).

Нападение, описанное в докладе, выпущенном Verizon Business, требует, чтобы у нападающего был эксплойт соответствующий уязвимости, которая на данный момент не закрыта патчем. Эксплойт работает только против компьютеров, у которых работает Local Intranet Zone, что по умолчанию включено для всех рабочих станций, входящих в домен.

Защищенный режим, который был представлен в седьмой версии IE, направлен на предотвращение доступа вредоносных кодов к важным частям операционной системы Windows, к таким которые могут, к примеру, создавать файлы или изменять настройки реестра. Но исследователи Verizon Business заявляют, что они нашли надежный способ обходить данную защиту, и этот способ не требует взаимодействия со стороны жертвы.

"Нападение комбинирует два факта: сокеты не подпадают под Mandatory Integrity Control и сайты локальной зоны Intranet обрабатываются с выключенным защищенным режимом", утверждается в докладе.

"Вредоносная веб-страница может быть обработана в Локальной зоне Intranet и процесс рендеринга будет происходить при среднем уровне защиты. При использовании той же уязвимости во второй раз, исполнение произвольного кода тем же пользователем может достичь того же среднего уровня. Это обеспечит полный доступ к аккаунту пользователя и позволит вредоносным программам постоянно существовать на клиенте, что было невозможно при низком уровне защиты в Защищенном режиме".