Браузер Microsoft Edge загружает все сохранённые пароли в память в открытом виде — даже когда ими не пользуются

Исследователь в области кибербезопасности Том Йоран Сёнстебюсетер Рённинг выпустил инструмент EdgeSavedPasswordsDumper, демонстрирующий, как обрабатываются сохранённые пароли в Microsoft Edge. Оказалось, что браузер загружает сохранённые учётные данные пользователя в системную память в открытом виде при запуске, даже когда эти учётные данные не используются активно. И также Edge всё равно запрашивает повторный вход в свои системы, в то время как все пароли хранятся в оперативной памяти без защиты.

Для объяснения этого поведения исследователь опубликовал на GitHub инструмент EdgeSavedPasswordsDumper в виде образовательной утилиты, предназначенной для помощи специалистам по безопасности и пользователям в проверке того, как управляются сохранённые учётные данные в среде браузера. Инструментарий работает с помощью доступа к памяти процесса браузера, где имена пользователей и пароли могут храниться в читаемом виде. Для проверки работу утилиты нужны права администратора (для доступа к памяти процессов Edge других пользователей).

Согласно наблюдениям исследователя, родительский процесс Microsoft Edge постоянно хранит расшифрованные учётные данные, что делает его потенциальной целью для извлечения, если злоумышленник получит достаточные системные привилегии. Организации, использующие системы с общим доступом или многопользовательские системы, могут быть особенно уязвимы, поскольку скомпрометированная учётная запись с административными привилегиями может получить доступ к данным из нескольких активных сессий.

Хотя сама по себе эта техника не представляет собой удалённую эксплуатацию уязвимости, она может стать актуальной в сценариях, когда злоумышленник уже имеет расширенный доступ к системе. В таких случаях методы дампа памяти,