Zuvor hatte der Sicherheitsforscher Tom Jøran Sønstebyseter Rønning öffentlich bekannt gegeben, dass der Microsoft Edge-Browser beim Start alle gespeicherten Kontokennwörter im Klartext direkt in den Speicherprozess lädt. Der Forscher hat dieses Problem direkt offengelegt, da Microsoft dies nicht als Sicherheitslücke ansieht und daher keine Pläne hat, Sicherheitsforschern Belohnungen für Sicherheitslücken zu gewähren.
Dieser Vorfall ist eigentlich nicht überraschend, da Google bereits ähnliche Fehler gemacht hat. Sowohl Google als auch Microsoft gehen davon aus, dass andere Sicherheitsmaßnahmen fehlgeschlagen sind, wenn der Angreifer das Gerät kontrollieren konnte, sodass das Auslesen des im Speicher gespeicherten Kontopassworts durch Malware selbst nicht im Rahmen des Sicherheitsmodells liegt.
Allerdings bereitet Microsoft noch Verbesserungen vor:
Das Microsoft-Team erklärte in einem Blog, dass der Microsoft Edge-Browser aufgrund der von Forschern offengelegten Probleme verbessert wird, sodass Passwörter beim Start nicht in den Speicher geladen werden. Diese tiefgreifende Verteidigungsmaßnahme deckt alle Versionen ab (einschließlich Betaversionen aller Kanäle, offizielle Versionen und erweiterte stabile Versionen für Unternehmen).
Diese Verbesserung wird derzeit von Microsoft vorrangig vorangetrieben, sodass in der veröffentlichten Microsoft Edge Canary-Version Passwörter nach dem Start des Browsers nicht mehr in den Speicher geladen werden. Nachdem die offizielle Version von Microsoft Edge v148.0 veröffentlicht wurde, können Benutzer dieses Update normal installieren, um verbesserte Sicherheitsmaßnahmen zu erhalten.
Warum Microsoft zunächst dachte, dass dies keine Sicherheitslücke sei:
Die Kernüberlegungen von Google und Microsoft sind, dass die Sicherheit des Geräts selbst am wichtigsten ist. In diesem Fall erfordert das vom Forscher offenbarte Problem, dass die Software Administratorrechte erhält und sie lokal ausführt, um die Daten im Speicher zu lesen. Bei dieser Ausnutzungsmethode gibt es verschiedene Nutzungsszenarien: 1. Die Malware kann bereits Administratorrechte zur Ausführung erlangen; 2. Auf dem gemeinsam genutzten Gerät kann das Administratorkonto andere Nicht-Kontodaten lesen.
Laut Microsoft gehen alle von den Forschern gemeldeten Szenarien davon aus, dass ein Angreifer das Gerät kontrollieren kann und dass der Angreifer in der Lage ist, unsichere Software lokal auszuführen, die vom Browser oder den Verteidigungsfähigkeiten einer Anwendung nicht bewältigt werden kann. Das Bedrohungsmodell des Passwort-Managers von Microsoft besagt eindeutig, dass physische lokale Angriffe und Malware, die mit erhöhten Rechten ausgeführt wird, nicht berücksichtigt werden. Microsoft betonte außerdem, dass das relevante Nutzungsszenario es dem Angreifer nicht erlaube, Daten direkt über den Browser abzurufen, sodass aus Sicht des Browsers kein Problem bestehe.
Microsoft erläuterte auch das Problem, Forschern keine Boni zu zahlen:
Der Grund, warum Microsoft Schwachstellenberichte ignoriert und für diesen Bericht keine Prämien für Schwachstellen bereitstellt, liegt darin, dass Microsoft in Bezug auf die Browsersicherheit dieselben Sicherheitsstandards wie das Open-Source-Projekt Google Chromium anwendet. Da davon ausgegangen wird, dass es sich hierbei um einen ungültigen Schwachstellenbericht handelt, werden Forscher natürlich keine Prämien für Schwachstellen erhalten.
Da es jedoch beispielsweise immer noch Probleme mit dem Kommunikationsprozess zwischen Schwachstellenberichten und Forschern gibt, kann diese Sicherheitslücke selbst tatsächlich als Verbesserung eingestuft werden. Daher wird Microsoft die Art und Weise, wie mit Forscherberichten umgegangen wird, erneut überprüfen und Microsoft wird anschließend diesbezüglich gewonnene Erkenntnisse und laufende Prozessverbesserungen bekannt geben.