Den Kern des Problems beschreibt Rønning in einer Reihe von Beiträgen auf X: Edge entschlüsselt alle im Browser gespeicherten Passwörter und hält sie im Prozessspeicher vor, „selbst wenn die Person die Website, die diese Zugangsdaten nutzt, nie besucht". Damit entsteht nach seiner Einschätzung ein erhebliches Risiko, vor allem in gemeinsam genutzten Firmenumgebungen.

Im Gespräch mit Dark Reading schilderte Rønning, wie ein Angreifer mit Administratorzugriff das Verhalten in einer Windows-Umgebung ausnutzen kann – etwa über Citrix, eine virtuelle Desktop-Infrastruktur (VDI) oder einen Windows-Terminalserver. „Sobald man das hat, hat man Zugriff auf den gesamten Prozessspeicher. Wenn ein anderer Nutzer seine Passwörter in Edge gespeichert hat, kann man diese Zugangsdaten abgreifen." Damit ließen sich weitere Anmeldedaten und immer mehr Berechtigungen anhäufen, sich seitlich im Netzwerk bewegen, andere Nutzer imitieren, persönliche Kontodaten oder finanzielle Mittel stehlen oder Ransomware-Angriffe durchführen.

Widersprüchlich erscheint dabei, dass ein Nutzer für den Zugriff auf seine in Edge gespeicherten Passwörter eigentlich ein separates Passwort eingeben muss. Die Klartextspeicherung hebt diese Schutzfunktion laut Rønning praktisch auf: Da ein Administrator Prozesse im Namen anderer Nutzer starten kann, lässt sich Edge auf einem Remotedesktop auch dann auslesen, wenn die Sitzung gar nicht aktiv genutzt wird. „Wenn Leute Edge laufen haben, es aber nicht benutzen", seien ihre Passwörter trotzdem zugänglich.

Edge basiert wie Google Chrome, Opera, Brave und Vivaldi auf dem quelloffenen Chromium-Framework. Rønning testete nach eigenen Angaben unter anderem Chrome und Brave und kam zu dem Ergebnis, dass Edge der einzige Chromium-Browser mit diesem Verhalten ist. Chrome etwa entschlüsselt Zugangsdaten nur bei Bedarf, statt alle Passwörter dauerhaft im Speicher zu halten. Zusätzlich bindet die App-Bound Encryption (ABE) die Entschlüsselung an einen authentifizierten Chrome-Prozess, sodass andere Prozesse die Schlüssel nicht wiederverwenden können. Klartextpasswörter erscheinen dadurch nur kurz beim automatischen Ausfüllen oder beim Anzeigen, was großflächiges Auslesen des Speichers deutlich erschwert.

Microsofts Begründung, auf ABE zu verzichten, lautet laut Rønning: Bei Administratorzugriff seien ohnehin „alle Wetten ausgeschlossen". Der Forscher hält dem entgegen, ABE erleichtere das Erkennen der Aktivitäten, die zum Aushebeln dieses Schutzes nötig wären. Dass Edge sämtliche Passwörter in den Speicher lade, obwohl sie nicht gebraucht würden, sei „eine merkwürdige Designentscheidung".

Auch Danwei Tran Luciani, Chief Product Technology Officer beim Anbieter Detectify, warnt vor einem trügerischen Sicherheitsgefühl: Das Produkt signalisiere ein Schutzniveau, arbeite aber auf einem anderen. In Unternehmen mit geteilten Geräten und unterschiedlichen Berechtigungen steige dadurch die Wahrscheinlichkeit, dass aus einem lokalen Einbruch der Abfluss von Zugangsdaten werde – ein einziger Brückenkopf auf einem Endgerät könne sich in Zugriff auf mehrere Konten und Systeme verwandeln.

Als Gegenmaßnahme empfiehlt Rønning Organisationen, per Gruppenrichtlinie zu verhindern, dass Edge überhaupt Passwörter speichert. Privatnutzern rät er, Edge gar nicht zu verwenden, da sich dieser Angriffsweg ohnehin kaum unterbinden lasse. Luciani plädiert dafür, den Browser im Unternehmen weniger als Passwortspeicher zu nutzen, stattdessen auf dedizierte, verwaltete Passwortlösungen zu setzen, lokale und administrative Rechte zu begrenzen und das Endgeräte-Monitoring gezielt auf Verhalten wie das Auslesen des Speichers auszurichten.