Новая находка в сфере информационной безопасности заставляет пересмотреть отношение к встроенным средствам хранения паролей в браузерах. Исследователи обнаружили, что Microsoft Edge расшифровывает и помещает в оперативную память все учётные данные, которые пользователь когда-либо сохранял в браузере, причём делает это в момент запуска приложения. Компания Microsoft официально подтвердила, что такое поведение является задуманной архитектурной особенностью, а не ошибкой.
Для понимания масштаба проблемы стоит объяснить, как работают другие современные браузеры на движке Chromium. Например, Google Chrome применяет гораздо более безопасный подход: он расшифровывает пароли строго по требованию - только когда пользователь заходит на сайт, использует автозаполнение или вручную просматривает сохранённые пароли в настройках. В Chrome используется технология App-Bound Encryption, которая привязывает криптографические ключи к аутентифицированному процессу браузера и не позволяет другим программам эти ключи украсть. В результате вредоносное ПО, считывающее память, может добраться до паролей лишь в короткие моменты их фактического использования.
Совсем иначе обстоит дело с Edge. Специалист по безопасности под псевдонимом @L1v1ng0ffTh3L4N протестировал все основные браузеры на базе Chromium и пришёл к выводу: Edge - единственный, кто загружает в память полный набор сохранённых паролей сразу после старта. Причём в этот кэш попадают данные для сайтов, которые пользователь вообще не собирается посещать в текущей сессии. Это означает, что любой процесс, имеющий доступ к памяти браузера, может извлечь все учётные записи без каких-либо дополнительных условий.
Наиболее опасные последствия такой архитектуры проявляются в средах совместного использования - например, на терминальных серверах. Если злоумышленник получает права администратора, он может прочитать память любого пользовательского процесса на той же машине. В опубликованном исследователем PoC (доказательстве концепции) наглядно показано: скомпрометированная учётная запись администратора извлекает пароли, принадлежащие двум другим пользователям, которые работали на том же сервере, причём один из них уже отключился от сессии. Всё, что нужно жертве, - чтобы Edge был запущен в фоне.
Примечательно, что при попытке вручную посмотреть пароли через встроенный менеджер паролей Edge запрашивает повторную аутентификацию - например, ввод PIN-кода или пароля Windows. Однако браузерный процесс уже хранит эти же пароли в открытом виде в памяти. Получается, что запрос аутентификации носит чисто декоративный характер и не защищает данные от извлечения другими программами.
Специалисты из компании Palo Alto Networks Norway официально рассказали об этой находке 29 апреля на конференции BigBiteOfTech. Одновременно исследователь опубликовал на GitHub учебный инструмент под названием EdgeSavedPasswordsDumper. Он позволяет командам безопасности проверить, действительно ли Edge хранит пароли в открытом виде в памяти на их собственных системах. Разработчики подчёркивают, что утилита предназначена исключительно для внутреннего аудита, а не для использования в атаках.
Реакция Microsoft на это открытие вызвала удивление в профессиональном сообществе. Компания заявила, что такое поведение является штатным и не будет меняться. Подобная позиция означает, что предприятиям, использующим Microsoft Edge, следует пересмотреть политику хранения паролей. Пока корпорация не изменит подход, эксперты по кибербезопасности рекомендуют организациям отказаться от сохранения конфиденциальных учётных данных непосредственно в браузере.
Вместо этого стоит использовать сторонние менеджеры паролей, которые расшифровывают базу данных строго по запросу и не держат все пароли в памяти постоянно. Такое решение в сочетании с дополнительной аутентификацией сводит риск массового извлечения учётных записей к минимуму. Помимо этого, администраторам терминальных серверов следует обратить внимание на ограничение прав пользователей: даже если злоумышленник получает доступ к одной учётной записи, он не должен видеть память чужих процессов.
Данный случай вновь напоминает о том, что удобство и безопасность часто вступают в противоречие. Microsoft Edge, предлагая быстрый доступ к паролям, фактически жертвует защитой данных. Пока компания не откажется от своей архитектуры, каждому пользователю, особенно в корпоративной среде, стоит сделать выбор в пользу более надёжных способов хранения учётных записей. Ведь программа-вымогатель или троян, получивший административные привилегии, сможет за считанные секунды собрать все ключи к цифровым сервисам компании, даже не заметив экран проверки подлинности.
