Microsoft Edge drží uložená hesla v paměti jako čitelný text. Podle výzkumníka nejde o chybu

Bezpečnostní výzkumník Tom Jøran Sønstebyseter Rønning upozornil na chování správce hesel v Microsoft Edge, které může být problémem zejména ve sdílených nebo firemních prostředích. Podle jeho zjištění Edge po spuštění načte uložená hesla v daném profilu do paměti procesu v podobě čitelného textu. To se má dít i v případě, že uživatel danou službu vůbec neotevře a heslo během relace nepoužije.

Rønning k demonstraci zveřejnil proof-of-concept nástroj EdgeSavedPasswordsDumper, který má ukazovat, že uložené přihlašovací údaje lze z paměti Edge získat v čitelné podobě. V popisu projektu na GitHubu uvádí, že nástroj vznikl pro vzdělávací a výzkumné účely a že problém je zásadní hlavně na terminálových serverech nebo v podobných sdílených prostředích.

Hesla jsou na disku šifrovaná, problém je v paměti

Microsoft ve své dokumentaci uvádí, že Edge ukládá hesla na disku šifrovaně pomocí AES a klíč je chráněn přes úložiště operačního systému, například DPAPI ve Windows. To ale neřeší situaci, kdy je prohlížeč spuštěný a hesla jsou podle výzkumníka přítomná v paměti procesu jako plaintext.

Právě tady vzniká rozdíl mezi ochranou „v klidu“ a ochranou „za běhu“. Uložený soubor s hesly může být šifrovaný, ale pokud aplikace při spuštění načte všechna hesla do RAM v čitelné podobě, otevírá se jiný typ rizika. Útočník, který má možnost číst paměť procesu, nemusí obcházet šifrování uložených dat.

Největší riziko: terminálové servery, VDI a sdílené stroje

Nejde o scénář, kdy by se k heslům dostal kdokoli vzdáleně jen návštěvou webu. Zneužití podle dostupných informací vyžaduje lokální přístup, malware běžící v uživatelské relaci nebo administrátorská práva v prostředí, kde běží více uživatelských relací.

To ale neznamená, že riziko není důležité. Ve firemním prostředí může být zásadní například u terminálových serverů, Citrixu, VDI nebo sdílených počítačů. Pokud útočník získá administrátorský přístup na takový systém, může podle Rønninga číst paměť procesů dalších přihlášených uživatelů a tím získat jejich uložené přihlašovací údaje.

Microsoft: lokální malware je mimo threat model prohlížeče

Podstatná část sporu se netočí kolem toho, zda se hesla v paměti mohou objevit, ale zda to Microsoft považuje za bezpečnostní chybu.

Podle dostupných reportů a vyjádření výzkumníka Microsoft popsané chování nevyhodnotil jako klasickou zranitelnost, ale jako záměrný návrh. V dokumentaci k zabezpečení správce hesel Microsoft zároveň uvádí, že lokální malware a fyzické útoky jsou mimo threat model prohlížeče. Jinými slovy: pokud je zařízení kompromitované a kód útočníka běží jako uživatel, může dělat v zásadě to, co může dělat i uživatel.

Tento argument má technickou logiku, ale neuklidňuje všechny bezpečnostní experty. Kritici namítají, že i při kompromitovaném endpointu má smysl snižovat dopad útoku a nevystavovat všechna uložená hesla najednou v čitelné podobě.

Falešný pocit bezpečí kolem Windows Hello

Z pohledu běžného uživatele může být matoucí, že Edge při ručním zobrazení uloženého hesla vyžaduje ověření přes Windows Hello, PIN nebo heslo zařízení. To vytváří dojem, že uložená hesla jsou před přístupem chráněná další autentizací.

Jenže pokud jsou podle výzkumníka hesla už načtená v paměti procesu, ověření v uživatelském rozhraní chrání pouze před tím, aby si je někdo pohodlně zobrazil kliknutím v nastavení prohlížeče. Nechrání nutně před útokem, který čte paměť běžící aplikace.

Pro domácí uživatele je riziko jiné než pro firmy

Pro běžného domácího uživatele platí důležitá nuance: pokud má útočník malware v počítači, problém už je vážný bez ohledu na konkrétní správce hesel. Malware může odchytávat klávesnici, obsah schránky, cookies, session tokeny nebo data z běžících aplikací.

U firem je ale dopad odlišný. Jeden kompromitovaný administrátorský účet na sdíleném serveru může znamenat přístup k paměti více uživatelů najednou. A pokud mají zaměstnanci v Edge uložené pracovní přístupy, může se z pohodlné funkce stát zásobník credentialů pro další fázi útoku.

Co by měli uživatelé a administrátoři udělat

Pro běžné uživatele dává smysl zvážit přesun hesel z prohlížeče do samostatného správce hesel a zapnout vícefaktorové ověřování všude, kde je to možné. Je také vhodné projít uložená hesla v Edge a odstranit ta, která už nejsou potřeba.

Ve firmách je situace jasnější. Administrátoři by měli zvážit, zda povolit ukládání hesel do Edge vůbec. Microsoft k tomu nabízí politiku PasswordManagerEnabled, kterou lze v organizaci použít k vypnutí ukládání nových hesel. Je ale důležité dodat, že podle dokumentace tím nemusí automaticky zmizet už dříve uložená hesla.

Praktická opatření:

• zvážit zákaz ukládání hesel v Edge ve firemním prostředí
• odstranit dříve uložená hesla z prohlížeče
• používat samostatný správce hesel s firemní správou
• nasadit MFA a ideálně phishing-resistant metody tam, kde to jde
• omezit administrátorská práva na terminálových serverech a VDI
• sledovat procesy a nástroje pracující s pamětí prohlížeče
• školit uživatele, že pohodlí vestavěného správce hesel není totéž co plnohodnotná ochrana credentialů

Nejde jen o Edge, ale o hranici odpovědnosti

Celý případ je zajímavý hlavně tím, že ukazuje rozdíl mezi formálním threat modelem výrobce a praktickým pohledem obránců. Microsoft může říct, že kompromitované zařízení je mimo bezpečnostní model prohlížeče. Bezpečnostní týmy ale řeší realitu, ve které endpointy kompromitované jsou, malware existuje a minimalizace dopadu útoku je součástí obrany.

Edge tím není automaticky „rozbitý“ pro každého uživatele. Pro firmy, administrátory a všechny, kdo v prohlížeči ukládají důležité pracovní přístupy, je to ale silný argument pro revizi nastavení a přesun hesel do nástroje, který je k jejich správě určený primárně.