Microsoft rudert zurück: Edge lädt Passwörter künftig nicht mehr im Klartext in den Arbeitsspeicher

Zusammenfassung

Microsoft passt seinen Webbrowser Edge an, sodass gespeicherte Passwörter beim Programmstart nicht länger im Klartext in den Prozessspeicher geladen werden. Zuvor hatte das Unternehmen dieses Verhalten als beabsichtigt eingestuft. Aufgedeckt hatte es der Sicherheitsforscher Tom Jøran Sønstebyseter Rønning, der zeigte, dass sämtliche im integrierten Passwortmanager von Edge gespeicherten Zugangsdaten beim Start entschlüsselt und auch dann im Speicher gehalten wurden, wenn sie gar nicht benötigt wurden. Rønning veröffentlichte zudem ein Proof-of-Concept-Werkzeug, mit dem Angreifer mit Administratorrechten Passwörter aus den Edge-Prozessen anderer Nutzer auslesen könnten; ohne solche Rechte lassen sich damit nur Edge-Prozesse desselben Nutzers ansprechen. Nach eigenen Angaben meldete er das Problem an Microsoft und erhielt die Auskunft, das Verhalten sei beabsichtigt, bevor er es öffentlich machte. Während Microsoft die Sache zunächst nicht angehen wollte und gegenüber BleepingComputer von einer erwarteten Funktion sprach, kündigte das Unternehmen nun an, künftige Edge-Versionen würden gespeicherte Passwörter beim Start nicht mehr in den Speicher laden. Der Fall ist damit relevant, weil ein Hersteller eine zunächst abgelehnte Sicherheitsmeldung doch noch aufgreift.

Der Sicherheitsforscher Tom Jøran Sønstebyseter Rønning machte das Verhalten in diesem Monat öffentlich. Seine Demonstration zeigte, dass der eingebaute Passwortmanager von Edge sämtliche gespeicherten Zugangsdaten bereits beim Start entschlüsselt und sie anschließend dauerhaft im Arbeitsspeicher hält – unabhängig davon, ob sie überhaupt verwendet werden.

Begleitend dazu veröffentlichte Rønning ein Proof-of-Concept-Werkzeug. Damit können Angreifer mit Administratorrechten Passwörter aus den Edge-Prozessen anderer Nutzer auslesen. Ohne Administratorrechte beschränkt sich das Werkzeug auf Edge-Prozesse, die vom selben Nutzer gestartet wurden.

Rønning verwies auf den Unterschied zu anderen Browsern: „Edge ist der einzige Chromium-basierte Browser, den ich getestet habe und der sich so verhält. Chrome dagegen setzt auf ein Design, das es Angreifern deutlich erschwert, gespeicherte Passwörter einfach durch das Auslesen des Prozessspeichers zu extrahieren." Nach eigener Darstellung hatte er das Problem zuvor an Microsoft gemeldet und die Auskunft erhalten, das Verhalten sei beabsichtigt.

Zunächst lehnte Microsoft eine Änderung ab und sprach gegenüber BleepingComputer von einer erwarteten Funktion der Anwendung. Inzwischen hat das Unternehmen angekündigt, dass künftige Edge-Versionen gespeicherte Passwörter beim Start nicht mehr in den Speicher laden – obwohl das gemeldete Szenario nach Microsofts Einschätzung in das bestehende Bedrohungsmodell fällt, das Angriffe ausschließt, bei denen ein Angreifer bereits die administrative Kontrolle über ein Gerät besitzt.

„Diese Maßnahme im Sinne gestaffelter Verteidigung wird in jede unterstützte Edge-Version kommen – Stable, Beta, Dev, Canary sowie den Extended-Stable-Kanal, den unsere Unternehmenskunden nutzen – und wir treiben die Auslieferung mit Vorrang voran", erklärte Gareth Evans, bei Microsoft für die Sicherheit von Edge zuständig.

Mit Blick auf die Secure Future Initiative und Rückmeldungen von Kunden nehme man eine breitere Perspektive ein, so Evans. Es gehe nicht nur darum, ob etwas die Schwelle zu einem Sicherheitsproblem erreiche, sondern auch darum, wo sich die Angriffsfläche durch gestaffelte Verteidigung verringern lasse. Die Verringerung der im Speicher offenliegenden Passwörter sei dafür ein praktischer Schritt.

Die Korrektur ist bereits im Edge-Canary-Kanal aktiv und soll mit dem nächsten Update für alle unterstützten Edge-Versionen ausgeliefert werden, beginnend mit Build 148.

Microsoft rudert zurück: Edge lädt Passwörter künftig nicht mehr im Klartext in den Arbeitsspeicher

Ähnliche Artikel

Neueste Artikel