Een beveiligingsonderzoeker ontdekte dat alle wachtwoorden in platte tekst worden opgeslagen in het geheugen van Edge.
Microsoft Edge laadt alle opgeslagen wachtwoorden bij opstart in het geheugen in leesbare tekst, ook al worden ze niet gebruikt. Dat ontdekte beveiligingsonderzoeker Tom Jøran Sønstebyseter Rønning, die op zijn X-account wijst op een risico in gedeelde omgevingen. De werkwijze verschilt met die van Google Chrome, dat wachtwoorden pas decodeert wanneer dat nodig is. Edge vraagt wel om herauthenticatie voordat wachtwoorden in de wachtwoordmanager getoond worden, maar de processen in het geheugen bevatten ze al in leesbare vorm.
Risico’s in gedeelde omgevingen
In omgevingen zoals terminalservers kan een aanvaller met beheerdersrechten toegang krijgen tot het geheugen van alle ingelogde gebruikers. Rønning toonde aan dat een gecompromitteerd account met beheerdersrechten de opgeslagen referenties van andere ingelogde gebruikers kon bekijken, zelfs zonder actieve internetverbinding.
Chrome gebruikt een ontwerp dat het moeilijker maakt voor aanvallers om opgeslagen wachtwoorden te verkrijgen door simpelweg het procesgeheugen te lezen. App-Bound Encryption voegt daar een extra laag aan toe door decodering te koppelen aan een geauthenticeerd Chrome-proces.
Reactie Microsoft
Microsoft reageerde op de melding van Rønning met de opmerking dat dit gedrag ingecalculeerd is om de gebruikerservaring te verbeteren. De onderzoeker deelde zijn bevindingen als verantwoorde openbaarmaking, zodat gebruikers en organisaties geïnformeerde beslissingen kunnen nemen over hoe ze referenties beheren.