Исследователь в области кибербезопасности Том Йоран Сёнстебюсетер Рённинг выпустил инструмент EdgeSavedPasswordsDumper, демонстрирующий, как обрабатываются сохранённые пароли в Microsoft Edge. Оказалось, что браузер загружает сохранённые учётные данные пользователя в системную память в открытом виде при запуске, даже когда эти учётные данные не используются активно. И также Edge всё равно запрашивает повторный вход в свои системы, в то время как все пароли хранятся в оперативной памяти без защиты.

Для объяснения этого поведения исследователь опубликовал на GitHub инструмент EdgeSavedPasswordsDumper в виде образовательной утилиты, предназначенной для помощи специалистам по безопасности и пользователям в проверке того, как управляются сохранённые учётные данные в среде браузера. Инструментарий работает с помощью доступа к памяти процесса браузера, где имена пользователей и пароли могут храниться в читаемом виде. Для проверки работу утилиты нужны права администратора (для доступа к памяти процессов Edge других пользователей).

Согласно наблюдениям исследователя, родительский процесс Microsoft Edge постоянно хранит расшифрованные учётные данные, что делает его потенциальной целью для извлечения, если злоумышленник получит достаточные системные привилегии. Организации, использующие системы с общим доступом или многопользовательские системы, могут быть особенно уязвимы, поскольку скомпрометированная учётная запись с административными привилегиями может получить доступ к данным из нескольких активных сессий.

Хотя сама по себе эта техника не представляет собой удалённую эксплуатацию уязвимости, она может стать актуальной в сценариях, когда злоумышленник уже имеет расширенный доступ к системе. В таких случаях методы дампа памяти, такие как использование распространённых административных инструментов, потенциально могут раскрыть сохранённую информацию для входа в систему.

Интересно, что проблема, по-видимому, характерна именно для Edge среди браузеров на основе Chromium, поскольку в ходе тестирования исследователь сообщил, что альтернативные браузеры, такие как Google Chrome и Brave, не демонстрировали подобного поведения. Последний справляется с этим лучше, обычно расшифровывая учётные данные только при необходимости, а не сохраняя их постоянно в памяти.

Как ни странно, Microsoft, по-видимому, классифицировала подобное поведение (сохранённые пароли в памяти в открытом виде) как «заложенное в дизайне» (behavior as "by design"), когда исследователь попытался сообщить компании об обнаруженной проблеме.

Пояснение исследователя по этому инциденту:

«Когда вы сохраняете пароли в Edge, браузер расшифровывает каждую учётную запись при запуске и удерживает их в памяти процесса. Это происходит даже если вы никогда не посещаете сайт, использующий эти учётные данные.

В то же время Edge требует повторной аутентификации перед отображением тех же паролей в интерфейсе Password Manager — при этом процесс браузера уже содержит их все в открытом виде.

Edge — единственный браузер на базе Chromium, который я тестировал и который ведёт себя таким образом. В отличие от него, Chrome использует дизайн, который делает гораздо более сложным для злоумышленников извлечение сохранённых паролей путём простого чтения памяти процесса.

Chrome расшифровывает учётные данные только при необходимости, вместо того чтобы хранить все пароли в памяти постоянно. Шифрование, привязанное к приложению (ABE), добавляет еще один уровень, связывая расшифровку с аутентифицированным процессом Chrome, что предотвращает повторное использование ключей шифрования Chrome другими процессами. Из‑за этих средств защиты пароли в открытом виде отображаются лишь кратковременно во время автозаполнения или когда пользователь их просматривает, что делает массовое сканирование памяти значительно менее эффективным. Риск хранения паролей в открытом виде в памяти становится очевидным в общих средах.

Если злоумышленник получит административный доступ на терминальном сервере, он сможет получить доступ к памяти всех процессов авторизованных пользователей. В видео злоумышленник скомпрометировал учётную запись пользователя с административными правами и способен просматривать сохранённые учётные данные для двух других авторизованных (или даже отключёнными) пользователями с запущенным Edge. Я сообщил об этом Microsoft, и официальный ответ был, что это поведение „by design“. Также в Microsoft в курсе, что я буду делиться этим как ответственное раскрытие, чтобы пользователи и организации могли принимать обоснованные решения», 

— написал Том Йоран Сёнстебюсетер Рённинг.