Een cybersecurity-onderzoeker heeft een aanzienlijk beveiligingsprobleem in Microsoft Edge benadrukt, waaruit blijkt dat de browser bij het opstarten alle opgeslagen wachtwoorden in platte tekst in het geheugen laadt. Dit gedrag treedt op ongeacht of de gebruiker van plan is de wachtwoordbeheerder te gebruiken tijdens die sessie, waardoor inloggegevens mogelijk worden blootgesteld aan aanvallers die beheerderstoegang tot het apparaat hebben verkregen.
Het beveiligingslek: platte tekst in het geheugen
Tom Jøran Sønstebyseter Rønning, een cybersecurity-onderzoeker, beschreef de kwestie op X (voorheen Twitter). Hij ontdekte dat Microsoft Edge elk opgeslagen wachtwoord decodeert en in het geheugen van de computer bewaart zodra de browser wordt gestart.
Dit staat in schril contrast met andere Chromium-gebaseerde browsers, zoals Google Chrome. Rønning merkte op dat Chrome een ander architectonisch ontwerp gebruikt, waardoor het voor aanvallers aanzienlijk moeilijker wordt om opgeslagen wachtwoorden te extraheren door simpelweg het procesgeheugen te lezen.
“Edge is de enige Chromium-gebaseerde browser die ik heb getest die zich op deze manier gedraagt”, aldus Rønning.
Het risico is bijzonder acuut in gedeelde of beheerde omgevingen. Zoals Rønning uitlegde: als een aanvaller beheerderstoegang verkrijgt op een terminalserver, heeft hij toegang tot het geheugen van alle ingelogde gebruikersprocessen, waardoor hij effectief wachtwoorden kan verzamelen zonder de encryptiesleutels die op de schijf zijn opgeslagen te hoeven omzeilen.
Reactie van Microsoft: het is “By Design”
Toen Microsoft over deze bevindingen werd gecontacteerd, verdedigde het de architectuur van de browser. Een woordvoerder vertelde Mashable dat het gedrag een verwachte functie is die bedoeld is om de prestaties, bruikbaarheid en beveiliging in evenwicht te brengen.
“Veiligheid en beveiliging zijn van fundamenteel belang voor Microsoft Edge”, aldus de woordvoerder. “Voor toegang tot browsergegevens zoals beschreven in het gerapporteerde scenario zou het apparaat al besmet moeten zijn… Browsers hebben toegang tot wachtwoordgegevens in het geheugen om gebruikers te helpen snel en veilig in te loggen.”
Microsoft benadrukte dat deze ontwerpkeuze snelle en veilige logins voor gebruikers mogelijk maakt. Ze erkenden echter dat dit gemak met nadelen gepaard gaat, en bevelen gebruikers aan hun beveiligingsupdates en antivirussoftware up-to-date te houden om de risico’s te beperken.
Industriestandaarden versus implementatie
De onthulling heeft geleid tot discussie over best practices op het gebied van cyberbeveiliging. De Duitse technische publicatie Heise Online repliceerde het probleem met succes en wees erop dat gevestigde beveiligingsprotocollen over het algemeen voorschrijven dat wachtwoorden alleen op het moment van gebruik mogen worden gedecodeerd en onmiddellijk daarna uit het geheugen moeten worden verwijderd.
Door alle wachtwoorden gedurende de sessie ontsleuteld in het geheugen te houden, wijkt Edge af van dit principe. Hoewel Microsoft beweert dat dit de gebruikerservaring verbetert door ervoor te zorgen dat wachtwoorden direct kunnen worden gebruikt, beweren beveiligingsexperts dat het aanvalsoppervlak onnodig wordt vergroot als het apparaat wordt gecompromitteerd.
Wat dit betekent voor gebruikers
Dit incident roept belangrijke vragen op over de manier waarop technologiegiganten gemak en veiligheid in evenwicht brengen. Hoewel het handig is om wachtwoorden direct bij de hand te hebben, zorgt het opslaan ervan in platte tekst in het geheugen voor een enkel storingspunt als het besturingssysteem of de browser wordt gehackt.
Voor gebruikers die zich zorgen maken over deze specifieke kwetsbaarheid, stellen experts twee hoofdstappen voor:
– Gebruik een speciale wachtwoordbeheerder: Wachtwoordbeheerders van derden bieden vaak meer gedetailleerde controle over hoe en wanneer inloggegevens worden gedecodeerd en in het geheugen worden opgeslagen.
– Zorg voor robuuste apparaatbeveiliging: Omdat de kwetsbaarheid beheerderstoegang vereist om misbruik te kunnen maken, is het up-to-date houden van het besturingssysteem en de antivirussoftware van cruciaal belang om de initiële aanval te voorkomen.
Samenvattend: hoewel Microsoft volhoudt dat Edge’s wachtwoordverwerking een bewuste ontwerpkeuze is voor de prestaties, blijft de praktijk van het opslaan van alle wachtwoorden in platte tekst in het geheugen een opmerkelijke afwijking van strengere beveiligingsnormen, waardoor gebruikers worden aangespoord waakzaam te blijven over de apparaatintegriteit.
