В Microsoft Edge нашли спорное поведение менеджера паролей: браузер расшифровывает сохраненные учетные данные при запуске и держит их в памяти процесса как cleartext. Об этом рассказал норвежский исследователь кибербезопасности Tom Jøran Sønstebyseter Rønning, и Microsoft, по его словам, считает механизм «by design».
Практический смысл простой. Если злоумышленник уже получил доступ к вашему ПК и может читать память процессов, он теоретически увидит список паролей в более «читаемом» виде. Речь не про удаленную дыру, которую можно эксплуатировать через сайт. Речь про последствия компрометации машины или терминального сервера.
Что именно утверждает исследователь про работу Edge
По описанию Рønning, Edge «decrypts every credential at startup» — расшифровывает все сохраненные логины и пароли при старте. Дальше браузер хранит их в памяти процесса, и это происходит даже для сайтов, которые вы в эту сессию не открывали.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Исследователь отдельно подчеркнул, что из всех Chromium-браузеров, которые он проверял, так ведет себя только Edge. Формулировка у него жесткая: «Edge is the only Chromium-based browser I’ve tested that behaves this way».
Порог атаки тут высокий. По словам исследователя, доступ к этим этим требует технических навыков и административного доступа к терминальному серверу или системе. После этого атакующий «can access the memory of all logged-on user processes» — может читать память процессов всех пользователей, которые сейчас залогинены.
Почему это особенно опасно в «общих» средах
Проблема становится острее там, где один админ-аккаунт соседствует с несколькими пользовательскими сессиями. Рønning описывает сценарий, когда человек с админ-правами на одном аккаунте использует их, чтобы добраться до паролей других вошедших пользователей.
Контраргумент очевиден: если у атакующего уже есть админ-права, он и так может устроить на ПК много неприятного. Но ценность «паролей в памяти» в том, что это сокращает путь до учеток, которые обычно прикрывают менеджеры паролей и 2FA.
Microsoft в своей документации по безопасности менеджера паролей пишет, что система спроектирована так, чтобы защитить не вошедшего пользователя. Даже при админ-правах или офлайн-доступе атакующий не должен получить plaintext-пароли того, кто не залогинен. Этот тезис не закрывает ситуацию, когда пользователь уже вошел и сессия активна.
Позиция Microsoft: «устройство уже должно быть скомпрометировано»
Microsoft дала комментарий по ситуации. Компания заявила, что доступ к этим браузера в описанном сценарии требует того, чтобы устройство уже было скомпрометировано: «Access to browser data as described in the reported scenario would require the device to already be compromised».
Рønning также пишет, что он сообщил о поведении в Microsoft, а в ответ услышал, что это «by design». Параллельно пользователь X под ником LopezLucio666 утверждает, что отправлял похожий репорт в MSRC в сентябре 2025 года. По опубликованному им скриншоту, MSRC ответил, что это «not a vulnerability and no security boundary being crossed», потому что чтение памяти Edge требует привилегий «the same or greater».
В отдельном заявлении Microsoft объяснила подход «балансом производительности, удобства и безопасности» и добавила, что доступ к этим паролей в памяти нужен для быстрого и безопасного входа и это «expected feature of the application».
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Публичные треды с описанием исследования: Tom Jøran Sønstebyseter Rønning и LopezLucio666.
Документация Microsoft по теме доступна на странице password manager security FAQ, где компания отдельно оговаривает границы защиты для вошедших и не вошедших пользователей.
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.
Исследователь: Edge хранит пароли в памяти в открытом виде ⚡️