NEWS

Microsoft Edge conserva in memoria le password in chiaro

Preoccupazioni sulla sicurezza del gestore password integrato in Microsoft Edge. Alcuni ricercatori hanno infatti scoperto che il browser mantiene in memoria, per tutta la durata della sessione, le credenziali salvate dagli utenti in forma leggibile.

La segnalazione è arrivata dal ricercatore di sicurezza Tom Jøran Sønstebyseter Rønning, che ha mostrato come Edge decritti tutte le password archiviate già all’avvio del browser, conservandole poi nella RAM anche se l’utente non visita i siti collegati a quelle credenziali.

Secondo le analisi effettuate, nella memoria del processo del browser possono comparire username e password in chiaro, insieme ad altre informazioni testuali riconducibili alle credenziali memorizzate. In pratica, chi riuscisse ad accedere alla memoria del sistema con privilegi elevati potrebbe leggere quei dati senza ulteriori passaggi di autenticazione.

Il comportamento è stato associato alla vulnerabilità classificata come CWE-316, cioè la conservazione in memoria di informazioni sensibili senza adeguata protezione. I test hanno mostrato che è possibile recuperare le password direttamente dai dump di memoria del processo “msedge.exe”.

L’aspetto che ha suscitato maggiore sorpresa è la posizione assunta da Microsoft. L’azienda, infatti, non considera questo comportamento un bug, ma una scelta progettuale deliberata.

Una visione che differisce da quella adottata da altri browser basati su Chromium, come Chrome, che tendono a decrittare le password solo quando necessario e adottano meccanismi aggiuntivi di protezione, tra cui sistemi che vincolano la decrittazione all’identità dell’applicazione autorizzata.

Il problema diventa particolarmente delicato negli ambienti aziendali condivisi, come infrastrutture VDI, terminal server o piattaforme Citrix. In questi contesti, un amministratore di sistema malevolo oppure un attaccante che ottenga privilegi elevati potrebbe estrarre le credenziali salvate nel browser e sfruttarle per accedere ad altri servizi aziendali o muoversi lateralmente nella rete.

Alcuni esperti hanno inoltre osservato una discrepanza tra le protezioni mostrate all’utente e il comportamento reale del browser. Sebbene Edge richieda Windows Hello per visualizzare le password nel gestore integrato, questa misura non impedirebbe il recupero delle credenziali direttamente dalla memoria RAM. Per questo motivo, diversi analisti parlano di una possibile “falsa percezione di sicurezza”.

Ulteriori prove hanno evidenziato che le password possono rimanere in memoria anche dopo il riavvio del browser, purché la sessione utente resti attiva. In un test, una password di prova è stata individuata in chiaro in un dump di memoria generato subito dopo l’apertura di Edge, senza alcuna navigazione verso siti web autenticati.

La vicenda ha inevitabilmente riaperto il confronto sul livello di sicurezza offerto dai password manager integrati nei browser. Microsoft continua a sostenere che il proprio modello di protezione è pensato soprattutto contro gli attacchi remoti e non contro chi possiede già accesso locale alla macchina. Tuttavia, molti esperti ritengono che, soprattutto in ambito aziendale, questo approccio non sia più sufficiente rispetto agli standard di sicurezza oggi richiesti.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Maxi attacco hacker cinese contro società controllata da IBM che gestisce i dati di Inps e Inail
Next Aumenta il rischio globale sulla cybersecurity: lo scorso anno +26% segnalazioni e +51% ransomware

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy