Egy norvég biztonsági szakértő figyelt fel arra, hogy a Microsoft Edge-ből viszonylag egyszerűen ki lehet nyerni a mentett jelszavakat. Tom Jøran Sønstebyseter Rønning, aki egyébként a norvég állami energetikai cég, a Statnett SF IT-biztonsági tesztelőinek a vezetője, felfedezését már április végén a Palo Alto Networks oslói konferenciáján, a Norway Big Bite of Tech 26-on is bemutatta, de szélesebb körben csak azután lett ismert, hogy közzétette több közösségi oldalon. Részletesen egy LinkedIn-posztban, videóval illusztrálva írta le a problémát.
 

Mint posztjában írja, az Edge az összes mentett jelszót titkosítatlanul betölti a memóriába – azokat is, melyeket a felhasználó nem használ. Indításakor ugyanis az összes mentett hitelesítő adatot visszafejti, és azokat a továbbiakban a folyamatmemóriában tárolja függetlenül attól, hogy a felhasználó meglátogatja vagy sem azt a webhelyet, amelyhez a hitelesítő adatok tartoznak.

A böngésző jelszókezelése ráadásul még erősíti is a felhasználó (hamis) biztonságérzetét azzal, hogy például a mentett jelszavakat csak újbóli hitelesítés után lehet megnézni.

A dolog azért furcsa a biztonsági szakember szerint, mert a Chromium-alapú Edge "féltestvére", a Google Chrome alapból igyekszik elejét venni annak, hogy a mentett jelszavakat egyszerűen ki lehessen nyerni a folyamatmemóriából. Minden hitelesítő adatot csak akkor fejt vissza, amikor arra szükség van. Ráadásul a 2024 nyarán bevezetett egy új védelmi vonalat, az App-Bound Encryptiont (ABE), amely a visszafejtést egy hitelesített Chrome-folyamathoz köti, és ezzel megakadályozza, hogy más folyamatok újra felhasználják a Chrome titkosítási kulcsait. Ezáltal a sima szöveges jelszavak csak rövid ideig jelennek meg: az automatikus kitöltés során, valamint ha a felhasználó megtekinti őket. Az ABE sem biztosít tökéletes védelmet, de abban segít, hogy a támadóknak kevésbé érje meg a RAM-kaparás (memory scraping) eszközéhez folyamodni.

Ez nem bug, hanem feature

Az Edge által követett módszer hatványozottan problémás megosztott környezetekben, például távoli asztal szolgáltatások (RDS, Remote Desktop Services) esetében. Ha a támadó rendszergazdai hozzáférést szerez egy terminálszerveren, onnantól hozzáfér az összes bejelentkezett felhasználó folyamatai által használt memóriához.

A biztonsági szakember – betartva a hivatali utat – felfedezése publikálása előtt értesítette a Microsoftot. A szoftvergyártó szerint azonban nincs itt semmi látnivaló: eleve így tervezték a jelszókezelést.

A Cyber Security News szerint mindaddig, amíg a Microsoft ezt az álláspontját nem gondolja újra, a Windows-környezetek biztonságáért felelős csapatoknak a problémát kiemelt prioritású konfigurációs kockázatként kell kezelniük.