SchwachstellenCloud-SicherheitDatenschutz

Microsoft Edge: Passwörter im Arbeitsspeicher gefährden Unternehmen

Von CyberDeutsch Redaktion
Microsoft Edge: Passwörter im Arbeitsspeicher gefährden Unternehmen
Zusammenfassung

Sicherheitsforscher haben eine kritische Schwachstelle in Microsoft Edge entdeckt, die Enterprise-Umgebungen erheblich gefährden könnte: Der Browser speichert alle gespeicherten Passwörter unverschlüsselt im Arbeitsspeicher, selbst wenn diese gerade nicht verwendet werden. Ein Angreifer mit Administratorrechten kann auf diese Anmeldedaten zugreifen, ohne dass ein aktiver Edge-Prozess läuft – eine Designentscheidung von Microsoft, die nun öffentlich gemacht wurde. Besonders problematisch ist dies in gemeinsamen Unternehmensumgebungen wie Terminal Servern, Citrix-Systemen oder virtuellen Desktopinfrastrukturen, wo ein administrativer Zugriff Zugang zu allen gespeicherten Passwörtern aller angemeldeten Benutzer ermöglicht. Dies könnte zu lateralen Angriffen, Identitätsdiebstahl und sogar Ransomware-Attacken führen. Im Gegensatz dazu implementieren Chrome, Brave und andere Chromium-basierte Browser stärkere Schutzmaßnahmen und entschlüsseln Passwörter nur bei Bedarf. Microsoft lehnt derzeit eine Änderung ab und argumentiert, dass bei Administratorrechten ohnehin alle Sicherheitsgrenzen aufgelöst seien. Für deutsche Organisationen, die Edge als Standardbrowser einsetzen – was in vielen Unternehmensumgebungen der Fall ist – stellt dies ein erhebliches Sicherheitsrisiko dar.

Die Schwachstelle zeigt ein grundlegendes Sicherheitsdesign-Problem: Microsoft Edge lädt alle gespeicherten Passwörter beim Start in den RAM und behält sie dort im Klartext, selbst wenn Nutzer diese nie brauchen. Dies öffnet Tür und Tor für Lateral-Movement-Angriffe in Unternehmensnetzen.

Das Angriffszenario in der Praxis

Rønning demonstriert das Risiko anhand realistischer Szenarien: Ein Angreifer mit Admin-Rechten kann über Fernzugriffslösungen wie Terminal Services oder VDI-Umgebungen auf den Prozessspeicher anderer Benutzer zugreifen. Mit speziellen Tools können alle Edge-Passwörter extrahiert werden – ohne dass der Nutzer dies bemerkt. Diese Passwörter ermöglichen dann Lateral-Movement-Attacken durch das Netzwerk, Impersonation von Nutzern oder sogar Ransomware-Einsätze.

Besonders perfide: Obwohl Edge normalerweise beim Zugriff auf gespeicherte Passwörter ein Masterpasswort verlangt, wird dieses Sicherheitsmerkmal durch die Speicherung im RAM praktisch umgangen.

Vergleich mit anderen Browsern

Chrome, Brave und andere Chromium-Browser setzen auf App-Bound Encryption (ABE). Diese Methode entschlüsselt Passwörter nur bei Bedarf und bindet die Entschlüsselung an authentifizierte Prozesse. Dadurch sind Passwörter nur kurzzeitig im Klartext sichtbar – beim Autofill oder auf explizite Nutzer-Anfrage.

Microsoft lehnt diesen Ansatz ab und argumentiert, dass bei Admin-Zugriff ohnehin “alle Sicherheitsbegrenzungen fallen”. Allerdings widersprechen Sicherheitsforscher dieser Sichtweise: ABE macht Angriffe nachweisbarer und komplizierter.

Empfehlungen für deutsche Organisationen

Unternehmen sollten sofort handeln: Via Group Policy lässt sich die Passwort-Speicherung in Edge deaktivieren. Für private Nutzer ist die Empfehlung klar: Edge sollte nicht als Passwort-Manager verwendet werden. Sicherheitsexperten raten zu dedizierten Password-Managern mit stärkeren Zugriffskontroller, zur Reduktion lokaler Administrationsrechte und zum intensiven Endpoint-Monitoring.

Die Tatsache, dass Microsoft diese Schwachstelle als “by Design” abtut, zeigt eine problematische Sicherheitsphilosophie. Für Unternehmen und Behörden im deutschsprachigen Raum sollte dies ein Anlass sein, ihre Edge-Nutzung grundsätzlich zu überdenken.

Ähnliche Artikel