«Мы прячем ключи под ковриком». Microsoft добровольно скормила пароли пользователей вирусам

Microsoft Edge держит пароли в памяти в открытом виде до закрытия браузера. Исследователь безопасности Том Йоран Сёнстебисетер Рённинг обратил внимание на особенность, которая отличает Edge от других проверенных Chromium-браузеров: при запуске программа сразу расшифровывает все учётные данные, даже если человек не заходит на сайты, где нужны эти логины.

Рённинг утверждает, что расшифрованные записи остаются в процессе Edge до конца сессии. Для обычного пользователя это не значит, что любой сайт или случайное приложение сразу увидит логины. Но если атакующий уже умеет читать память процессов, кража упрощается: ему не нужно ждать автозаполнения формы или открытия нужной страницы, достаточно снять данные из запущенного Edge.

Для сравнения исследователь привёл Chrome. Браузер Google раскрывает пароль только в момент использования: при автозаполнении формы или при ручном просмотре записи владельцем профиля. Дополнительно Chrome применяет Application-Bound Encryption - механизм, который привязывает ключи к проверенному процессу Chrome с системными правами. Поэтому секрет появляется в открытом виде ненадолго и не лежит в памяти весь сеанс.

Самый главный риск связан с терминальными серверами и общими рабочими средами. При административных правах злоумышленник может читать память процессов всех вошедших пользователей. В демонстрации Рённинг показал, что при таком доступе можно получить чужие пароли, пока Edge открыт в пользовательских сеансах.

Рённинг сообщил о находке Microsoft, но компания ответила, что Edge работает по замыслу разработчиков. Перед публикацией исследователь предупредил Microsoft, чтобы пользователи и организации могли учесть риск в политиках хранения паролей и настройках браузера.

Microsoft не считает описанную ситуацию отдельной уязвимостью. В компании объяснили: доступ к данным браузера требует уже взломанного устройства. По версии Microsoft, разработчики выбирают компромисс между скоростью входа, удобством и защитой, а работа с данными в памяти помогает быстрее авторизоваться на сайтах. Пользователям советуют устанавливать обновления безопасности и использовать антивирус.

Часть специалистов тоже не согласна с резкой оценкой. Говорят, если злоумышленник уже получил права администратора и читает память произвольных процессов, систему фактически можно считать захваченной. С таким уровнем доступа атакующий способен вытаскивать секреты из разных браузеров, запускать программы от имени пользователя и добираться до данных другими путями.

Разное поведение браузеров также важно для корпоративной защиты. Чем дольше секрет лежит в памяти без шифрования, тем шире окно для инфостилеров, инструментов постэксплуатации и внутренних нарушителей с повышенными правами. Для компаний с терминальными серверами, VDI и общими рабочими станциями находка даёт дополнительный повод запретить хранение паролей в браузере.

Специалисты по безопасности давно советуют не использовать встроенный менеджер браузера как единственную защиту учётных записей. Инфостилеры охотятся за логинами, файлами сессий, токенами и куками, а после заражения компьютера вытаскивают данные за секунды. Более надёжный подход включает отдельный менеджер паролей, многофакторную аутентификацию и переход на passkeys там, где сервис уже поддерживает вход без обычного пароля.

Вывод простой: пользоваться Edge - окей, но после взлома устройства запас его прочности ниже. Если рабочие пароли лежат в Edge, стоит пересмотреть политики браузера, запретить сохранение учётных данных, включить многофакторную защиту и проверить сервисы, где пароль можно заменить passkeys.