A Microsoft está atualizando o navegador Edge para evitar que senhas salvas sejam carregadas em texto claro na memória do processo durante a inicialização, depois de ter afirmado anteriormente que esse comportamento estava “por design”.
A falha foi divulgada em 4 de maio pelo pesquisador de segurança Tom Jøran Sønstebyseter Rønning, que demonstrou que todas as credenciais armazenadas no gerenciador de senhas integrado do Edge eram descriptografadas ao abrir o navegador e permaneciam na memória mesmo sem uso.
Rønning também publicou uma prova de conceito, ou PoC, que permitiria a invasores com privilégios de administrador extrair senhas de processos do Edge pertencentes a outros usuários.
Sem privilégios de administrador, a PoC só permite acessar processos do Edge iniciados pelo mesmo usuário.
Segundo o pesquisador, o problema foi reportado à Microsoft, que respondeu inicialmente que o comportamento estava “por design” antes da divulgação pública.
“O Edge é o único navegador baseado em Chromium que testei e que se comporta dessa forma.
Em contraste, o Chrome usa um desenho que torna muito mais difícil para invasores extraírem senhas salvas simplesmente lendo a memória do processo”, afirmou o pesquisador.
A empresa inicialmente resistiu a corrigir o problema e, à época, informou que aquilo era “uma funcionalidade esperada do aplicativo”.
Agora, porém, a Microsoft anunciou na quarta-feira que versões futuras do Edge não vão mais carregar senhas salvas na memória na inicialização, embora o cenário relatado já estivesse dentro do modelo de ameaça esperado, que exclui ataques em que o adversário já tenha controle administrativo do dispositivo.
“Essa mudança de defesa em profundidade chegará a todas as versões suportadas do Edge, incluindo Stable, Beta, Dev, Canary e o canal Extended Stable usado por nossos clientes corporativos, e estamos priorizando a implementação”, disse Gareth Evans, líder de segurança do Microsoft Edge.
“Com nosso compromisso com a Secure Future Initiative e com o feedback dos clientes, estamos adotando uma visão mais ampla.
Isso significa não olhar apenas para o fato de algo atender ou não ao nível de um problema de segurança, mas também para onde podemos reduzir a exposição por meio de melhorias de defesa em profundidade.
Neste caso, reduzir a exposição de senhas na memória é uma medida prática nessa direção.”
A correção já está disponível no canal Edge Canary e fará parte da próxima atualização de todas as versões suportadas do Edge, a partir da compilação 148.
No ano passado, a Microsoft também introduziu um novo recurso de segurança no Edge para proteger usuários contra extensões maliciosas instaladas manualmente no navegador e restringiu o acesso ao modo Internet Explorer do Edge depois que hackers passaram a explorar zero-day no mecanismo JavaScript Chakra para alcançar dispositivos-alvo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...