Ein Cybersicherheitsforscher hat auf eine erhebliche Sicherheitslücke in Microsoft Edge hingewiesen und enthüllt, dass der Browser beim Start alle gespeicherten Passwörter im Klartext in den Speicher lädt. Dieses Verhalten tritt unabhängig davon auf, ob der Benutzer beabsichtigt, während dieser Sitzung den Passwort-Manager zu verwenden, wodurch möglicherweise Anmeldeinformationen für Angreifer offengelegt werden, die administrativen Zugriff auf das Gerät erhalten haben.
Die Sicherheitslücke: Klarer Text im Speicher
Tom Jøran Sønstebyseter Rønning, ein Cybersicherheitsforscher, hat das Problem auf X (ehemals Twitter) detailliert beschrieben. Er entdeckte, dass Microsoft Edge jedes gespeicherte Passwort entschlüsselt und es im Speicher des Computers speichert, sobald der Browser gestartet wird.
Dies steht in krassem Gegensatz zu anderen Chromium-basierten Browsern wie Google Chrome. Rønning stellte fest, dass Chrome ein anderes Architekturdesign verwendet, das es Angreifern erheblich erschwert, gespeicherte Passwörter einfach durch Auslesen des Prozessspeichers zu extrahieren.
„Edge ist der einzige Chromium-basierte Browser, den ich getestet habe, der sich so verhält“, erklärte Rønning.
Das Risiko ist in gemeinsam genutzten oder verwalteten Umgebungen besonders groß. Wie Rønning erklärte, kann ein Angreifer, wenn er administrativen Zugriff auf einen Terminalserver erhält, auf den Speicher aller angemeldeten Benutzerprozesse zugreifen und so effektiv Passwörter sammeln, ohne auf der Festplatte gespeicherte Verschlüsselungsschlüssel umgehen zu müssen.
Antwort von Microsoft: Es ist „beabsichtigt“
Als Microsoft wegen dieser Erkenntnisse kontaktiert wurde, verteidigte es die Architektur des Browsers. Ein Sprecher sagte gegenüber Mashable, dass es sich bei dem Verhalten um eine erwartete Funktion handele, die Leistung, Benutzerfreundlichkeit und Sicherheit in Einklang bringen soll.
„Sicherheit und Schutz sind für Microsoft Edge von grundlegender Bedeutung“, sagte der Sprecher. „Der Zugriff auf Browserdaten, wie im gemeldeten Szenario beschrieben, würde erfordern, dass das Gerät bereits kompromittiert ist … Browser greifen auf Passwortdaten im Speicher zu, um Benutzern eine schnelle und sichere Anmeldung zu ermöglichen.“
Microsoft betonte, dass diese Designwahl den Benutzern eine schnelle und sichere Anmeldung ermöglicht. Sie räumten jedoch ein, dass dieser Komfort mit Kompromissen verbunden ist, und empfahlen den Benutzern, ihre Sicherheitsupdates und Antivirensoftware auf dem neuesten Stand zu halten, um Risiken zu mindern.
Industriestandards vs. Umsetzung
Die Enthüllung hat eine Debatte über Best Practices für Cybersicherheit ausgelöst. Die deutsche Tech-Publikation Heise Online hat das Problem erfolgreich reproduziert und darauf hingewiesen, dass etablierte Sicherheitsprotokolle im Allgemeinen vorschreiben, dass Passwörter erst zum Zeitpunkt der Verwendung entschlüsselt und unmittelbar danach aus dem Speicher entfernt werden sollten.
Edge weicht von diesem Prinzip ab, indem alle Passwörter während der gesamten Sitzung entschlüsselt im Speicher bleiben. Während Microsoft argumentiert, dass dies das Benutzererlebnis verbessert, indem sichergestellt wird, dass Passwörter sofort einsatzbereit sind, argumentieren Sicherheitsexperten, dass dadurch die Angriffsfläche unnötig vergrößert wird, wenn das Gerät kompromittiert wird.
Was dies für Benutzer bedeutet
Dieser Vorfall wirft wichtige Fragen darüber auf, wie Technologiegiganten Komfort und Sicherheit in Einklang bringen. Während es praktisch ist, Passwörter jederzeit verfügbar zu haben, führt die Speicherung im Klartext im Speicher zu einem Single Point of Failure, wenn das Betriebssystem oder der Browser beschädigt wird.
Für Benutzer, die über diese spezifische Sicherheitslücke besorgt sind, schlagen Experten zwei Hauptmaßnahmen vor:
– Verwenden Sie einen dedizierten Passwort-Manager: Passwort-Manager von Drittanbietern bieten häufig eine detailliertere Kontrolle darüber, wie und wann Anmeldeinformationen entschlüsselt und im Speicher gespeichert werden.
– Gewährleistung einer robusten Gerätesicherheit: Da für die Ausnutzung der Schwachstelle Administratorzugriff erforderlich ist, ist die Aktualisierung des Betriebssystems und der Antivirensoftware von entscheidender Bedeutung, um die anfängliche Gefährdung zu verhindern.
Zusammenfassend lässt sich sagen, dass Microsoft zwar behauptet, dass die Passwortverarbeitung von Edge eine bewusste Designentscheidung für die Leistung sei, die Praxis, alle Passwörter im Klartext im Speicher zu speichern, jedoch weiterhin eine bemerkenswerte Abweichung von strengeren Sicherheitsstandards darstellt und Benutzer dazu drängt, wachsam hinsichtlich der Geräteintegrität zu bleiben.
