Výzkumník v oblasti kybernetické bezpečnosti identifikoval vážnou zranitelnost v prohlížeči Microsoft Edge. Ukázalo se, že při spuštění program načte všechna uložená hesla do RAM v otevřené podobě (prostý text). K tomu dochází bez ohledu na to, zda uživatel plánuje použít správce hesel v aktuální relaci. Tato funkce může vést ke kompromitaci přihlašovacích údajů, pokud útočník získá přístup pro správce k zařízení.
Podstata zranitelnosti: hesla s čistým textem v paměti
Badatel Tom Göran Sonstebsäter Rönning problém podrobně popsal na sociální síti X (dříve Twitter). Zjistil, že Microsoft Edge ihned po spuštění prohlížeče dešifruje každé uložené heslo a uloží je do paměti RAM počítače.
Toto chování je v ostrém kontrastu s jinými prohlížeči založenými na Chromiu, jako je Google Chrome. Ronning poznamenal, že Chrome používá odlišný architektonický přístup, který útočníkům výrazně ztěžuje extrahování uložených hesel pouhým čtením paměti procesu.
„Edge je jediný prohlížeč založený na Chromu, který jsem testoval a který se takto chová,“ řekl Rönning.
Riziko je zvláště vysoké ve sdílených nebo spravovaných prostředích. Jak vysvětlil Rönning, pokud útočník získá administrátorský přístup na terminálovém serveru, může přistupovat k paměti všech procesů běžících jménem uživatelů a efektivně získávat hesla, aniž by musel obcházet šifrovací klíče uložené na disku.
Odpověď společnosti Microsoft: “Toto je záměrné”
Po obdržení informací o těchto zjištěních Microsoft hájil architekturu svého prohlížeče. Mluvčí společnosti řekl Mashable, že toto chování je očekávaná funkce navržená tak, aby nalezla rovnováhu mezi výkonem, použitelností a zabezpečením.
„Zabezpečení a ochrana jsou jádrem Microsoft Edge,“ řekl mluvčí. “Přístup k datům prohlížeče popsaný v nahlášeném scénáři je možný pouze v případě, že zařízení již bylo kompromitováno… Prohlížeče přistupují k datům hesla v paměti, aby se uživatelé mohli rychle a bezpečně přihlásit.”
Microsoft zdůraznil, že tato architektonická volba usnadňuje uživatelům rychlé a bezpečné přihlášení do systémů. Společnost však uznala, že tato vymoženost přichází s kompromisy, a doporučila uživatelům udržovat aktualizace zabezpečení a antivirový software aktuální, aby se snížila rizika.
Průmyslové standardy vs. implementace
Tento objev vyvolal debatu o osvědčených postupech v oblasti kybernetické bezpečnosti. Německá technologická publikace Heise Online úspěšně reprodukovala problém a poukázala na to, že zavedené bezpečnostní protokoly obvykle nařizují, že hesla musí být dešifrována pouze v okamžiku použití a poté okamžitě odstraněna z paměti.
Ukládáním všech dešifrovaných hesel do paměti po celou dobu relace se Edge od tohoto principu odchyluje. Zatímco Microsoft tvrdí, že to zlepšuje uživatelskou zkušenost tím, že zajišťuje, že hesla jsou připravena k okamžitému použití, bezpečnostní experti tvrdí, že to nepřiměřeně zvyšuje plochu útoku, pokud je zařízení kompromitováno.
Co to znamená pro uživatele
Incident vyvolává důležité otázky o tom, jak techničtí giganti vyvažují pohodlí a bezpečnost. I když je pohodlné mít hesla po ruce, jejich uložení ve formátu prostého textu v paměti vytváří jediný bod selhání, pokud dojde ke kompromitaci operačního systému nebo prohlížeče.
Pro uživatele, kteří se obávají této konkrétní zranitelnosti, odborníci navrhují dva hlavní postupy:
– Používejte vyhrazeného správce hesel: Správci hesel třetích stran často nabízejí podrobnější kontrolu nad tím, jak a kdy jsou přihlašovací údaje dešifrovány a uloženy do paměti.
– Udržujte své zařízení v bezpečí: Vzhledem k tomu, že zneužití zranitelnosti vyžaduje přístup pro správce, je důležité udržovat operační systém a antivirový software aktuální, abyste předešli počátečnímu ohrožení.
Shrneme-li to, i když Microsoft tvrdí, že zpracování hesel Edge je záměrné architektonické rozhodnutí kvůli výkonu, praxe ukládání všech hesel v čistém textu v paměti zůstává výraznou odchylkou od přísnějších bezpečnostních standardů a povzbuzuje uživatele, aby zůstali ostražití ohledně integrity svých zařízení.
