Webbrowser: Klartext-Passwörter im Speicher von Microsoft Edge entdeckt
Wer glaubt, seine in Microsofts Webbrowser Edge gespeicherten Zugangsdaten seien dort gut aufgehoben, liegt offenkundig falsch. Wie der norwegische Sicherheitsforscher Tom Jøran Sønstebyseter Rønning herausgefunden hat, lädt der Browser direkt beim Start alle gespeicherten Passwörter im Klartext in den Prozessspeicher – auch wenn sie gar nicht benötigt werden. Ein Angreifer mit Admin-Zugriff kann sie dort auslesen.
Der Forscher demonstriert seine Entdeckung in einem kurzen Videoclip auf X(öffnet im neuen Fenster). Auf Github hat er zudem ein Tool veröffentlicht(öffnet im neuen Fenster), mit dem sich die in Edge gespeicherten Passwörter auslesen lassen. In der Beschreibung betont Rønning jedoch, dass das Tool ausschließlich für Bildungszwecke vorgesehen ist und er sich von jeglicher illegaler Nutzung distanziert.
Den Angaben zufolge lädt Edge die Passwörter auch dann in den Prozessspeicher, wenn keinerlei Website aufgerufen wird, auf der Zugangsdaten benötigt werden. "Gleichzeitig verlangt Edge von Ihnen eine erneute Authentifizierung, bevor dieselben Passwörter in der Benutzeroberfläche des Passwortmanagers angezeigt werden – obwohl sie dem Browserprozess bereits alle im Klartext vorliegen", erklärt Rønning weiter.
Chrome verhält sich anders
Für besonders gefährlich hält der Forscher seine Entdeckung in Bezug auf gemeinsam genutzte IT-Systeme. So könne etwa ein Angreifer mit Admin-Zugriff auf einen Terminal-Server auf den Prozessspeicher aller angemeldeten Benutzer zugreifen und deren in Edge hinterlegte Passwörter abgreifen. Der Angriff setzt aber voraus, dass bereits ein Admin-Konto kompromittiert wurde oder ein bestehender Admin bösartige Ziele verfolgt.
Bei anderen Chromium-basierten Browsern konnte Rønning kein entsprechendes Verhalten beobachten. Bei Google Chrome werde es Angreifern erheblich erschwert, gespeicherte Passwörter aus dem Prozessspeicher zu extrahieren, erklärt der Forscher. Zugangsdaten würden dort nur bei Bedarf entschlüsselt und auch nur kurzzeitig im Speicher vorgehalten, etwa für die Autofill-Funktion oder eine mögliche Anzeige.
Dass auch Microsoft Edge künftig einen solchen Schutz bietet, ist nach aktuellen Erkenntnissen nicht gesichert. Rønning gibt an, das Problem an Microsoft gemeldet zu haben. Der Konzern habe jedoch erwidert, das geschilderte Verhalten sei eine Designentscheidung und damit beabsichtigt. Wer also mit Edge im Internet surft, sollte seine Passwörter gegebenenfalls besser mit einem separaten Passwortmanager sichern.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.