Ein Cybersicherheitsforscher hat ein Proof-of-Concept-Tool veröffentlicht, das Sicherheitsrisiken im Umgang von Microsoft Edge mit gespeicherten Passwörtern aufzeigt. Der Forscher, der im Internet unter dem Namen Tom Jøran Sønstebyseter Rønning bekannt ist, teilte seine Erkenntnisse auf sozialen Plattformen wie X und gab eine ausführliche Demonstration. Ihm zufolge lädt Microsoft Edge die gespeicherten Kontokennwörter des Benutzers beim Start des Browsers im Klartext in den Systemspeicher, auch wenn diese Anmeldeinformationen derzeit nicht verwendet werden. Noch interessanter ist, dass der Browser den Benutzer weiterhin auffordert, sich erneut anzumelden, selbst wenn alle Passwörter ungeschützt im Speicher liegen.

Um dieses Verhalten intuitiver darzustellen, haben die Forscher ein Tool namens „EdgeSavedPasswordsDumper“ auf GitHub veröffentlicht. Das Projekt ist als pädagogisches Dienstprogramm positioniert, das Sicherheitsexperten und normalen Benutzern dabei helfen soll, zu überprüfen, wie gespeicherte Anmeldeinformationen in Browserumgebungen verwaltet werden. Das Tool greift auf den Prozessspeicher des Browsers zu, um Benutzernamen und Passwörter zu extrahieren, die möglicherweise in für Menschen lesbarer Form vorliegen.

Untersuchungen zeigen, dass der übergeordnete Prozess von Microsoft Edge diese entschlüsselten Anmeldeinformationen weiterhin speichert und sobald ein Angreifer ausreichende Systemprivilegien erlangt, kann dieser Prozess zum Ziel der Passwortextraktion werden. Dieses Risiko ist besonders akut für Organisationen, die gemeinsame Konten oder Umgebungen mit mehreren Benutzern betreiben, da die Gefährdung eines Kontos mit Administratorrechten es einem Angreifer ermöglichen würde, über mehrere aktive Sitzungen hinweg auf Daten zuzugreifen.

Es sollte darauf hingewiesen werden, dass diese Technologie selbst keine Fernangriffsmethode darstellt, aber in dem Szenario, in dem der Angreifer hochprivilegierten Zugriff erhalten hat, wird sie zu einer Waffe für weitere laterale Bewegungen oder den Diebstahl sensibler Informationen. In diesem Fall können Vorgänge wie Speicherauszüge durch gängige Verwaltungstools dazu führen, dass die darin gespeicherten Anmeldeinformationen verloren gehen.

Die Tests der Forscher ergaben außerdem, dass es sich bei diesem Problem offenbar um ein Edge-spezifisches Verhalten handelt und das gleiche Muster in anderen Chromium-basierten Browsern wie Google Chrome und Brave nicht beobachtet wird. Letzterer entschlüsselt die Zugangsdaten in der Regel nur bei Bedarf, ohne sie über einen längeren Zeitraum im Klartext im Speicher zu behalten. Dies bedeutet jedoch nicht, dass Chrome völlig frei von versteckten Gefahren ist. In früheren Berichten wurde beispielsweise darauf hingewiesen, dass Chrome bei der wichtigen Datenschutzfunktion des Browser-Fingerabdruckschutzes hinter Produkten wie Edge, Firefox und Brave zurückbleibt.

Noch rätselhafter ist, dass Microsoft das Verhalten offenbar als „funktionell arbeitend“ eingestuft hat, als die Forscher versuchten, Microsoft über das Problem zu informieren. Über diese Aussage hinaus schien Microsoft keine weitere Antwort oder Erklärung zu geben.