Если вы сохраняете пароли в Microsoft Edge, вам следует знать о риске безопасности. Согласно новому отчету, при каждом запуске Edge браузер немедленно загружает все сохраненные пароли в память в читаемом виде, а не только пароль для веб-сайта, на который вы входите. Это означает, что учетные данные для каждого аккаунта, сохраненного в Edge, могут быть раскрыты, если вредоносная программа, скомпрометированный аккаунт администратора или другой злоумышленник получит доступ к вашему устройству или сеансу пользователя.

Об этой находке сообщил исследователь безопасности Том Йоран Сёнстебюсетер Рённинг(новое окно), который утверждает, что Microsoft ответила, что такое поведение предусмотрено архитектурой (by design).

Собственная документация Microsoft гласит, что Edge зашифровывает сохраненные пароли на диске с помощью AES (Advanced Encryption Standard), и признает, что пароли могут быть раскрыты, если сеанс пользователя или устройство будут скомпрометированы. Новое раскрытие информации не оспаривает этого, но поднимает другую проблему: Edge загружает все сохраненные пароли в читаемую память сразу после запуска браузера, что делает извлечение данных из памяти гораздо более опасным, если злоумышленник получит достаточный доступ.

Это произошло через год после того, как Microsoft ограничила управление паролями рамками Edge, постепенно отказавшись от хранения паролей и автозаполнения в Microsoft Authenticator, подталкивая пользователей, желающих продолжать использовать функции паролей Microsoft, к своему собственному браузеру.

Как Microsoft Edge обрабатывает сохраненные пароли

Пароли должны быть защищены с помощью шифрования при хранении: шифрование превращает читаемый пароль (простой текст) в нечитаемые данные (шифротекст). Чтобы использовать этот пароль для автозаполнения, браузер в конечном итоге должен расшифровать его обратно в читаемый вид. Важный вопрос заключается в следующем: какой объем данных паролей становится читаемым одновременно?

Исследователь безопасности Том Йоран Сёнстебюсетер Рённинг утверждает, что Microsoft Edge загружает все сохраненные пароли в память браузера в виде простого текста сразу после запуска, вместо того чтобы расшифровывать конкретный пароль только тогда, когда он необходим. Сюда входят все пароли, сохраненные в менеджере паролей Edge, даже для тех веб-сайтов, которые вы не посещаете и для которых не используете автозаполнение во время текущего сеанса просмотра.

Терминал, показывающий, как Microsoft Edge держит сохраненные пароли открытыми в виде простого текста
Источник: @L1v1ng0ffTh3L4N на X

Из-за этого запрос Edge на повторную аутентификацию кажется вводящим в заблуждение: интерфейс просит вас подтвердить свои личные данные перед тем, как показать пароль, хотя в процессе браузера все сохраненные пароли уже доступны в читаемом виде.

Исследователь протестировал это поведение в нескольких браузерах на базе Chromium, включая Google Chrome, Brave, Vivaldi, Opera и Microsoft Edge. Только Edge проявил такое поведение.

Достаточно просто оставить Microsoft Edge открытым

Исследователь безопасности Роб Ванденбринк в статье для SANS Internet Storm Center(новое окно) воспроизвел проблему, оставив Microsoft Edge открытым и проанализировав дамп памяти запущенного сеанса браузера. Он продемонстрировал, как вошедший в систему пользователь Windows может сделать дамп своих сохраненных учетных данных Edge без дополнительных прав, что также означает, что вредоносная программа, запущенная от имени этого пользователя, потенциально может получить доступ к этим учетным данным.

Две расположенные рядом панели, показывающие, как легко создать файл дампа памяти для Microsoft Edge с помощью диспетчера задач Windows и как легко просмотреть все сохраненные пароли в полученном файле DMP
Источник: Роб Ванденбринк на SANS Internet Storm Center

Один раскрытый сеанс может скомпрометировать все ваши пароли

Если злоумышленник получит достаточный доступ к устройству или сеансу пользователя, он сможет изучить память браузера. Если бы только один пароль расшифровывался по мере необходимости, у злоумышленника было бы меньше времени и данных для перехвата. Но если каждый сохраненный пароль уже находится в памяти и не защищен шифрованием, извлечение данных из памяти становится гораздо более выгодным.

Риск особенно серьезен в общих средах, таких как терминальные серверры, удаленные рабочие столы, инфраструктура виртуальных рабочих столов или системы, в которых одновременно вошли в систему несколько пользователей. Скомпрометированный аккаунт администратора может извлечь сохраненные учетные данные других вошедших в систему пользователей, включая отключенные сеансы, в которых Edge все еще запущен.

Что делать, если вы сохранили пароли в Microsoft Edge

Это не означает, что каждый пользователь Microsoft Edge был взломан, однако частным лицам и организациям следует подумать, является ли Edge подходящим местом для хранения учетных данных. Вот что вы можете сделать, чтобы оставаться в безопасности:

  • Перестаньте сохранять новые пароли в браузере Microsoft и отключите менеджер паролей Edge.
  • Перенесите свои сохраненные учетные данные в безопасный менеджер паролей. Вы можете легко импортировать пароли из Edge в Proton Pass.
  • Удалите пароли, сохраненные в Edge, после миграции.
  • Смените пароли высокого риска и сделайте их уникальными, начиная с электронной почты, финансовых аккаунтов, инструментов администратора, почтовых ящиков для сброса пароля и рабочих аккаунтов. В нашем менеджере паролей есть встроенный инструмент для этой цели, но вы также можете использовать наш генератор паролей.
  • По возможности включите двухфакторную аутентификацию (2FA) или ключи доступа, что поможет снизить ущерб в случае утечки пароля. Proton Pass поддерживает ключи доступа и 2FA для всех ваших сохраненных аккаунтов. Вы также можете использовать наше приложение для аутентификации, чтобы безопасно управлять доступом к вашему аккаунту Proton.
  • Для ИТ-команд: ознакомьтесь с политиками паролей Edge и отключите хранение паролей в браузере, чтобы снизить организационные риски. Централизованно управляемый бизнес-менеджер паролей лучше, чем хранение паролей сотрудниками в отдельных браузерах.

Ваши пароли заслуживают лучшего, чем Microsoft Edge

Раскрытие информации о Microsoft Edge напоминает о том, что ваши самые конфиденциальные учетные данные не должны храниться в менеджере паролей компании, которая считает подобную утечку ожидаемым поведением, даже если это вызывает очевидные опасения по поводу безопасности у частных лиц и организаций.

С Proton Pass ваши пароли, псевдонимы, ключи доступа и коды 2FA защищены сквозным шифрованием, и вы сами контролируете, где и как их использовать.

Создать бесплатный аккаунт Proton Pass