Se guarda palavras-passe no Microsoft Edge, existe um risco de segurança que deve conhecer. De acordo com uma nova revelação, sempre que abre o Edge, o navegador carrega imediatamente todas as palavras-passe guardadas na memória de forma legível — não apenas a palavra-passe do sítio web onde está a iniciar sessão. Isto significa que as credenciais de todas as contas guardadas no Edge podem ser expostas se um malware, uma conta de administrador comprometida ou outro atacante obtiver acesso ao seu dispositivo ou à sua sessão de utilizador.

A descoberta foi revelada pelo investigador de segurança Tom Jøran Sønstebyseter Rønning(nova janela), que afirma que a resposta da Microsoft foi que o comportamento é “por design”.

A própria documentação da Microsoft afirma que o Edge encripta as palavras-passe guardadas no disco utilizando AES (Advanced Encryption Standard) e reconhece que as palavras-passe podem ser expostas se a sessão de utilizador ou o dispositivo forem comprometidos. A nova revelação não contesta este facto, mas levanta uma preocupação diferente: o Edge carrega todas as palavras-passe guardadas na memória legível assim que o navegador é iniciado, tornando a extração de memória (memory scraping) muito mais valiosa caso um atacante obtenha acesso suficiente.

Isto acontece um ano após a Microsoft ter restringido a gestão de palavras-passe em torno do Edge ao eliminar gradualmente o armazenamento e o preenchimento automático de palavras-passe no Microsoft Authenticator, empurrando os utilizadores que queriam continuar a utilizar as funcionalidades de palavras-passe da Microsoft para o seu próprio navegador.

Como o Microsoft Edge gere as palavras-passe guardadas

Supõe-se que as palavras-passe devem estar protegidas por encriptação quando são armazenadas: a encriptação transforma uma palavra-passe legível (texto simples) em dados ilegíveis (texto cifrado). Para utilizar essa palavra-passe para preenchimento automático, o navegador acaba por ter de a desencriptar de volta para uma forma legível. A questão importante é: quantos dados de palavras-passe se tornam legíveis de uma só vez?

O investigador de segurança Tom Jøran Sønstebyseter Rønning afirma que o Microsoft Edge carrega todas as palavras-passe guardadas na memória do navegador em texto simples assim que é iniciado, em vez de apenas desencriptar uma palavra-passe específica quando esta é necessária. Isto inclui todas as palavras-passe guardadas no gestor de palavras-passe do Edge, mesmo as de sítios web que não visita ou para os quais não utiliza o preenchimento automático durante a sessão de navegação atual.

Um terminal a mostrar como o Microsoft Edge mantém as palavras-passe guardadas expostas em texto simples
Fonte: @L1v1ng0ffTh3L4N no X

Isto faz com que o pedido de reautenticação do Edge pareça enganador: a interface pede-lhe para provar a sua identidade antes de revelar uma palavra-passe, embora o processo do navegador já tenha todas as palavras-passe guardadas disponíveis de forma legível.

O investigador testou este comportamento em vários navegadores baseados em Chromium, incluindo o Google Chrome, o Brave, o Vivaldi, o Opera e o Microsoft Edge. Apenas o Edge apresentou este comportamento.

Basta deixar o Microsoft Edge aberto

O investigador de segurança Rob VandenBrink, escrevendo para o SANS Internet Storm Center(nova janela), reproduziu o problema ao deixar o Microsoft Edge aberto e analisar um despejo de memória da sessão do navegador em execução. Demonstrou como um utilizador do Windows com sessão iniciada pode despejar as suas credenciais armazenadas no Edge sem direitos adicionais, o que também significa que um malware executado como esse utilizador poderia potencialmente aceder a essas credenciais também.

Dois painéis lado a lado a mostrar como criar facilmente um ficheiro de despejo de memória para o Microsoft Edge utilizando o Gestor de Tarefas do Windows e como visualizar facilmente todas as palavras-passe guardadas no ficheiro DMP capturado
Fonte: Rob VandenBrink no SANS Internet Storm Center

Uma única sessão comprometida pode expor todas as suas palavras-passe

Se um atacante obtiver acesso suficiente ao dispositivo ou à sessão do utilizador, poderá conseguir inspecionar a memória do navegador. Se apenas uma palavra-passe for desencriptada quando necessária, o atacante tem uma janela de oportunidade menor e menos dados para capturar. Mas se todas as palavras-passe guardadas já estiverem na memória desprotegidas por encriptação, a extração de memória torna-se muito mais valiosa.

O risco é especialmente grave em ambientes partilhados, como servidores de terminais, ambientes de trabalho remotos, infraestruturas de ambientes de trabalho virtuais ou sistemas onde vários utilizadores têm sessão iniciada ao mesmo tempo. Uma conta de administrador comprometida poderia extrair credenciais guardadas de outros utilizadores com sessão iniciada, incluindo sessões desligadas onde o Edge ainda estivesse a ser executado.

O que fazer se guardou palavras-passe no Microsoft Edge

Isto não significa que todos os utilizadores do Microsoft Edge tenham sido pirateados, mas indivíduos e organizações devem reconsiderar se o Edge é o local certo para armazenar credenciais. Eis o que pode fazer para se manter em segurança:

As suas palavras-passe merecem melhor do que o Microsoft Edge

A divulgação do Microsoft Edge é um lembrete de que as suas credenciais mais sensíveis não devem ser armazenadas num gestor de palavras-passe pertencente a uma empresa que trata este tipo de exposição como um comportamento esperado, embora levante preocupações de segurança óbvias para indivíduos e organizações.

Com o Proton Pass, as suas palavras-passe, alias, chaves de acesso e códigos 2FA estão protegidos por encriptação ponto a ponto, e o utilizador mantém o controlo sobre onde e como os utiliza.

Criar uma conta Proton Pass gratuita