Un problema di sicurezza critico per gli utenti di Microsoft Edge
Microsoft Edge ha un grave problema di sicurezza: quando avvii il browser, tutte le password salvate vengono decriptate e caricate in memoria in formato leggibile, rimanendovi per tutta la sessione. Questo significa che chiunque riesca ad accedere al processo del browser può leggere tutte le tue credenziali, indipendentemente dal fatto che tu stia visitando quei siti o meno.
A scoprire questo comportamento è stato un ricercatore di sicurezza che ha testato sistematicamente tutti i principali browser basati su Chromium. Edge è risultato l’unico browser a mostrare questo comportamento pericoloso.
Perché questo è un problema grave
La ricerca è stata divulgata il 29 aprile e rappresenta una vulnerabilità significativa, soprattutto in ambienti condivisi come i server terminal, gli ambienti VDI o i sistemi Remote Desktop Services (RDS). In questi contesti, un attaccante con privilegi amministrativi potrebbe leggere la memoria di tutti i processi del browser degli utenti collegati e estrarre istantaneamente tutte le loro credenziali salvate.
Questo trasforma un singolo compromesso a livello amministrativo in un furto completo di credenziali su scala aziendale.
Come Google Chrome gestisce meglio la situazione
A differenza di Edge, Google Chrome implementa un sistema di decriptazione su richiesta: le credenziali vengono decriptate solo nel momento in cui sono effettivamente necessarie, ad esempio durante il riempimento automatico o quando l’utente visualizza esplicitamente una password salvata.
Cromo aggiunge un ulteriore livello di protezione con App-Bound Encryption, una tecnologia che lega crittograficamente le chiavi di decriptazione a un processo Chrome autenticato, impedendo ad altri processi di riutilizzare quelle chiavi per accedere alle credenziali.
La contraddizione nel comportamento di Edge
Ciò che rende questa scoperta particolarmente preoccupante è il comportamento contraddittorio di Edge. Il browser chiede comunque all’utente di autenticarsi di nuovo prima di rivelare le password nell’interfaccia di Gestione password, eppure il processo del browser contiene già tutte quelle credenziali in chiaro, completamente accessibili a chiunque possa interrogare la memoria del processo.
Questa verifica di autenticazione fornisce quindi solo l’illusione di controllo d’accesso, senza offrire alcuna protezione reale contro l’estrazione di credenziali basata sulla memoria.
I rischi in ambienti multi-utente
In ambienti condivisi o multi-utente, il rischio si amplifica notevolmente. Un ricercatore ha creato un video proof-of-concept che dimostra come un account amministratore compromesso può estrarre con successo le credenziali salvate da altri utenti collegati, inclusi gli utenti con sessioni disconnesse ma ancora attive, semplicemente leggendo la memoria del processo Edge.
Questa vulnerabilità corrisponde direttamente alla categoria MITRE ATT&CK T1555.003 — Credenziali dai browser web.
La risposta ufficiale di Microsoft
Quando il ricercatore ha divulgato responsabilmente il problema a Microsoft, la risposta ufficiale dell’azienda è stata che il comportamento è “intenzionale” (by design). La documentazione pubblica esistente di Microsoft riconosce che le credenziali nella memoria del browser possono essere accessibili in condizioni di attacco locale, categorizzando tali scenari come al di fuori del modello di minaccia del browser.
Cosa puoi fare adesso
Se utilizzi Microsoft Edge in un ambiente aziendale, specialmente su server terminal, ambienti VDI o sistemi ad accesso condiviso, dovresti:
- Considerare di migrare a browser con decriptazione su richiesta e App-Bound Encryption fino a quando Microsoft non affronterà questa decisione di progettazione
- Valutare il rischio nel tuo ambiente specifico e implementare misure di sicurezza compensative
- Informare il tuo team IT di questa vulnerabilità se ancora non ne è a conoscenza
Un strumento educativo di verifica è stato rilasciato pubblicamente per permettere a qualsiasi utente di confermare se il proprio browser Edge contiene credenziali in chiaro nella memoria del processo. Questo strumento è utile per fare consapevolezza e incoraggiare la validazione indipendente del comportamento.
Approfondimento tecnico
Dettagli sulla vulnerabilità
La ricerca ha rivelato che Microsoft Edge carica l’intero vault di password in memoria in testo semplice all’avvio, mantenendolo accessibile per tutta la durata della sessione. Questo crea una superficie di attacco persistente e ampia per qualsiasi attaccante che riesca a leggere la memoria del processo.
Confronto tecnico tra i browser
Mentre Edge carica tutte le credenziali contemporaneamente, Chrome utilizza un approccio lazy-loading. Le credenziali vengono decrittate solo quando necessario, riducendo significativamente la finestra di opportunità per un attaccante.
L’App-Bound Encryption di Chrome aggiunge un ulteriore livello di complessità: le chiavi di decriptazione sono crittograficamente vincolate a un processo Chrome autenticato specifico, rendendo praticamente impossibile per un altro processo di replicare questa decriptazione anche se riesce a leggere la memoria.
Implicazioni per gli ambienti aziendali
In un ambiente RDS con più utenti collegati contemporaneamente, un attaccante con privilegi SYSTEM o amministrativi potrebbe iterare su tutti i processi edge.exe in esecuzione e leggere la memoria di ciascuno in pochi secondi. Questo rappresenta un vettore di attacco critico per il furto di credenziali su larga scala.
La ricerca ha anche dimostrato che le credenziali rimangono in memoria anche per le sessioni disconnesse ma ancora attive sul server, estendendo ulteriormente il periodo di esposizione.
Considerazioni sulla progettazione di sicurezza
La decisione di Microsoft di caricare tutte le credenziali in memoria all’avvio del browser sembra contrastare con le migliori pratiche di sicurezza moderne. L’approccio on-demand di Chrome rappresenta uno standard di settore più robusto che minimizza l’esposizione delle credenziali sensibili.
Per i team di sicurezza che gestiscono ambienti Windows con Edge distribuito su server terminal o sistemi VDI, questa dovrebbe essere considerata una priorità alta nella valutazione del rischio e nella pianificazione della migrazione verso soluzioni più sicure.
Fonte: https://cybersecuritynews.com/microsoft-edge-passwords-cleartext/
