サイバーセキュリティ研究者が、Microsoft Edgeによる保存されたパスワードの処理におけるセキュリティリスクを実証する概念実証ツールをリリースしました。インターネット上では Tom Jøran Sønstebyseter Rønning という名前で知られるこの研究者は、X などのソーシャル プラットフォームで研究結果を共有し、完全なデモンストレーションを行いました。
彼によると、Microsoft Edge は、ブラウザーの起動時に、これらの資格情報が現在使用されていない場合でも、ユーザーの保存されたアカウント パスワードをクリア テキストでシステム メモリに読み込みます。さらに興味深いのは、すべてのパスワードが保護されていない形式でメモリに存在している場合でも、ブラウザはユーザーに再ログインを要求し続けることです。
この動作をより直観的に説明するために、研究者らは「EdgeSavedPasswordsDumper」と呼ばれるツールを GitHub でリリースしました。このプロジェクトは、セキュリティ専門家や一般ユーザーがブラウザ環境で保存された資格情報がどのように管理されるかを確認できるように設計された教育ユーティリティとして位置付けられています。このツールはブラウザのプロセス メモリにアクセスして、人間が判読できる形式のユーザー名とパスワードを抽出します。
調査によると、Microsoft Edge の親プロセスはこれらの復号化された資格情報を保持し続けており、攻撃者が十分なシステム権限を取得すると、このプロセスがパスワード抽出のターゲットになる可能性があります。管理者権限を持つアカウントが侵害されると、攻撃者が複数のアクティブなセッションにわたってデータにアクセスできるようになるため、このリスクは共有アカウントまたはマルチユーザー環境を実行している組織にとって特に深刻です。
このテクノロジー自体はリモート攻撃手法を構成するものではありませんが、攻撃者が高い特権アクセスを取得したシナリオでは、さらなる水平移動や機密情報の窃取のための武器となることに注意してください。この場合、一般的な管理ツールによるメモリダンプなどの操作により、そこに保存されているログイン情報が漏洩する可能性があります。
研究者らのテストでは、この問題は Edge 固有の動作であるようであり、Google Chrome や Brave などの他の Chromium ベースのブラウザでは同じパターンが観察されないこともわかりました。後者は通常、資格情報をメモリ内の平文で長期間保持せず、必要な場合にのみ資格情報を復号化します。ただし、これは Chrome に隠れた危険性がまったくないという意味ではありません。たとえば、以前のレポートでは、ブラウザの指紋保護という重要なプライバシー機能において、Chrome が Edge、Firefox、Brave などの製品に遅れをとっていると指摘されていました。
さらに不可解なのは、研究者らがこの問題を Microsoft に通知しようとしたところ、Microsoft が明らかにこの動作を「仕様によるもの」として分類したことです。この声明以外に、マイクロソフトはそれ以上の返答や説明をしていないようだ。