O navegador legado do Internet Explorer tem, nos últimos dias, sido utilizado para tornar um único clique do usuário na  execução de código remoto malicioso. O mais interessante é: o navegador já foi oficialmente aposentado pelos sistemas Windows, porém, continua no sistema nas versões mais recentes – tendo sua engine embutida em outras aplicações –  sendo ainda explorado para danificar o sistema de usuários.

Conforme a análise de engenharia reversa publicada pela equipe do PT Swarm (2026)[1] no artigo ‘The Click that shouldn’t have worked’, fora observado que: Ao explorar o modelo de zona do Internet Explorer , handling de tags MOTW –Mark of The Web– e poderosos componentes COM/ACTIVEX, atacantes são capacitados a transformar interações comuns de usuários em execução de código malicioso.

O principal problema é que a engine do Internet Explorer – mshtml – e controle de Web Browser ainda estão integrados em muitas aplicações desktop, especialmente em versões antigas do .NET,VisualBasic e ferramentas C/C++ com interfaces Web locais no localhost.

Assim que um atacante consegue executar scripts em um contexto local, esse pode modificar o tratamento especial do Internet Explorer sob o localhost e zonas de arquivo (Tags)  para permitir  abertura de arquivos HTML do disco. Esse escalonamento de origem permite converter o código javascript remoto em um script de origem local, o qual consegue rodar com privilégios mais altos.

Cadeia de ataque

Um bug de timing em como o Internet Explorer lida com operações de janela e diálogos permite que javascript rodando sob http://localhost, abra arquivos HTML locais sem os usuais prompts de segurança.

Com esse pivô, o objetivo imediato do atacante passa a ser ultrapassar as tags MOTW para que conteúdo local malicioso não mais seja restringido pelos avisos de segurança da Microsoft. GIF .

Para tal, a cadeia de ataque combina o Microsoft Edge e o Internet Explorer. Num XSS – injeção de código malicioso –  no localhost, o script abre uma janela do Microsoft Edge em uma URL controlada pelo atacante. Sob condições normais, o Edge fará o download do payload HTML no diretório Downloads do usuário sem que seja aplicada uma tag MOTW previamente.

Isso acontece por causa de uma feature do Microsoft Edge que permite que arquivos originados em http://localhost não sejam salvos com a tag MOTW. Normalmente, O Windows insere um fluxo alternativo de dados (Zone.Identifier=3) para marcar arquivos da internet. Sem essa tag, o Windows interpreta o arquivo HTML malicioso como se ele tivesse sido criado localmente pelo próprio usuário (através do Bloco de Notas, por exemplo), removendo a primeira e mais robusta camada de sandbox do sistema de arquivos.

O controle do web browser pode então ser redirecionado para o novo arquivo local baixado, tornando o que antes era um payload remoto em um HTML local aparentemente confiável sem restrições MOTW.

Com o script agora sendo executado em um contexto local privilegiado, o atacante instancia objetos COM  de alto risco via ActiveX, tais como o WScript.Shell , objetos historicamente conhecidos por permitirem execução arbitrária de comandos mesmo quando expostos a um input não confiável.

O Internet Explorer faz o display de um alerta de segurança quando os objetos COM são instanciados. Se o usuário clicar em “sim”, a página consegue rodar comandos como droppers de malware completos. GIF .

Na prática, tudo se resume a um “RCE de dois cliques”, o qual, potencializado com engenharia social, faz com que o primeiro clique inicie um download do HTML malicioso e que um segundo sirva para aprovar o prompt ActiveX dentro do Internet Explorer.

Versões afetadas

Windows 11: Versões 24H2, 23H2, 22H2, 21H2 e versões de teste (como 25H2/26H1).

Windows 10: Versões 22H2, 21H2, 1809 e 1607 (incluindo edições Enterprise e LTSC).

Windows Server: Windows Server 2025, 2022, 2019, 2016 e as versões legadas ainda operantes em regime estendido (Server 2012 e 2012 R2).

Aplicações de Terceiros: Qualquer aplicação construída em .NET Framework (Windows Forms/WPF), Visual Basic 6 (VB6) ou C++ que faça uso direto da biblioteca shdocvw.dll ou invoque o objeto WebBrowser para renderizar interfaces locais em portas de http://localhost.

CVEs Relacionadas
1. CVE-2026-21513 — MSHTML Framework Security Feature Bypass

Descrição: Esta vulnerabilidade afeta diretamente o mshtml Framework usado pelo motor Trident do Internet Explorer incorporado. Ela permite que atacantes contornem as restrições normais de sandbox e de rede ao induzir a vítima a interagir com arquivos criados para forçar o motor legado a renderizar código sem as devidas validações de segurança.

Mitigações

Atualizar a versão do sistema operacional visando, de maneira preventiva, receber os mais novos patches implementados pela Microsoft, substituir o Web Browser do Internet Explorer por mecanismos mais modernos de renderização de Web, eliminar XSS nas UIs de localhost, bloquear ActiveX/COM via políticas e dificultar regras de execução MOTW são passos críticos para diminuir essa superfície de ataque.

Referências

[1] https://swarm.ptsecurity.com

[2] https://cybersecuritynews.com/internet-explorer-webbrowser-attack/