Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
1052 подписчика

Риск для корпоративной безопасности и хранение паролей в памяти Microsoft Edge.

2
8 мин
В открытых источниках регулярно появляется информация о потенциальных особенностях хранения учётных данных в популярных браузерах. Особое внимание специалистов привлекают сценарии работы с терминальными серверами и RDP-средами. В этом материале — обзор типовых рисков, связанных с использованием встроенных менеджеров паролей, и рекомендации по выстраиванию защищённых политик для компаний, работающих с персональными данными и объектами КИИ. По информации из публичных технических источников, большинство современных браузеров хранят учётные данные в зашифрованном виде с расшифровкой в момент автозаполнения или обращения к менеджеру паролей. Однако в ряде публичных исследований (например, материалы независимого исследователя Т. Рённинга) указывается, что у некоторых браузеров, включая Microsoft Edge, механизмы работы с памятью могут отличаться. Согласно этим данным, Edge при запуске расшифровывает сохранённые пароли и удерживает их в оперативной памяти в открытом виде до полного закрытия бр
Оглавление
Как работает хранение секретов в браузере
Как работает хранение секретов в браузере

Microsoft Edge и безопасность хранения паролей: аналитика рисков для бизнеса

В открытых источниках регулярно появляется информация о потенциальных особенностях хранения учётных данных в популярных браузерах. Особое внимание специалистов привлекают сценарии работы с терминальными серверами и RDP-средами. В этом материале — обзор типовых рисков, связанных с использованием встроенных менеджеров паролей, и рекомендации по выстраиванию защищённых политик для компаний, работающих с персональными данными и объектами КИИ.

Как устроено хранение паролей: что показывает анализ открытых данных

По информации из публичных технических источников, большинство современных браузеров хранят учётные данные в зашифрованном виде с расшифровкой в момент автозаполнения или обращения к менеджеру паролей. Однако в ряде публичных исследований (например, материалы независимого исследователя Т. Рённинга) указывается, что у некоторых браузеров, включая Microsoft Edge, механизмы работы с памятью могут отличаться.

Согласно этим данным, Edge при запуске расшифровывает сохранённые пароли и удерживает их в оперативной памяти в открытом виде до полного закрытия браузера. Это означает, что любой процесс с достаточными правами доступа на данной системе потенциально может прочитать эти данные из памяти.

Почему это может быть критично для корпоративной среды

По наблюдениям экспертов, в значительной доле компаний продолжают использоваться терминальные серверы (Windows Server с RDP, решения Citrix и аналоги). При этом нередки ситуации, когда пользователям на таких серверах предоставляются избыточные права (вплоть до локального администратора). Если злоумышленник получает доступ к терминальному серверу — например, через подбор учётных данных или фишинг — он может использовать штатные средства чтения памяти процессов. В случае, когда у пользователей открыт Edge с сохранёнными паролями, существует риск компрометации учётных данных.

Пример из практики (на основе публичных кейсов)

В одном из расследований, описанном в открытых источниках, компания столкнулась с несанкционированными действиями в своей биллинговой системе. Анализ показал, что на терминальном сервере у сотрудников были открыты браузеры с сохранёнными паролями от CRM, почты и доменной учётной записи. Злоумышленник, получив доступ к серверу через RDP, использовал инструменты для дампа памяти процессов браузера. В результате были похищены учётные данные, что привело к простою систем и расходам на восстановление. Подобные ситуации регулярно фигурируют в отчётах по инцидентам.

Сравнение с другими браузерами (на основе открытых спецификаций)

В технической документации Google Chrome упоминается механизм Application-Bound Encryption (ABE). Ключ шифрования привязывается к проверенному процессу браузера с системными правами. Расшифровка пароля происходит только в момент непосредственного использования автозаполнения или просмотра списка паролей — секрет присутствует в памяти кратковременно. При этом эксперты отмечают, что даже ABE не даёт абсолютной защиты: некоторые инфостилеры (например, RedLine, Vidar) могут обходить его через инжект в процесс, но это требует более высокой квалификации. Для браузеров без подобного механизма риск извлечения паролей через дамп памяти оценивается как более высокий.

Особенности требований регуляторов (Россия)

С 2025 года ФСТЭК России ужесточила требования к защите критической информационной инфраструктуры (КИИ) в части хранения учётных данных. Для организаций, подпадающих под 187-ФЗ, использование браузерных менеджеров паролей на терминальных серверах без дополнительных мер защиты может рассматриваться как несоответствие требованиям. В ряде проверок выявлялись случаи, когда регулятор предписывал отключать встроенное сохранение паролей через групповые политики.

Терминальные серверы и RDP: факторы повышенного риска

На основе анализа инцидентов выделяются следующие факторы:

  • Общая память процессов: процесс с правами администратора или SYSTEM может читать память любого пользовательского процесса.
  • Длительные сессии: пользователи редко перезагружают терминальные серверы, и пароли могут оставаться в памяти браузера неделями.
  • Недостаточная настройка политик завершения сессий: браузер может оставаться в фоновом режиме с расшифрованными данными.

Описанный в открытых источниках случай с оператором связи иллюстрирует цепочку: злоумышленник использовал уязвимость в устаревшем RDP-шлюзе (известную в базах CVE), получил права SYSTEM на терминальном сервере, затем через дамп памяти Edge извлёк пароль к биллингу. Важно, что штатные журналы аудита не фиксируют факт чтения памяти процесса как аномалию — это легитимное действие. Обнаружить такую кражу постфактум сложно.

Рекомендации по снижению рисков (на основе реальных проектов)

Многие компании сталкиваются с этими рисками регулярно. Рекомендуется рассмотреть следующий комплекс мер:

  1. Отключение встроенного менеджера паролей в браузерах через групповые политики (например, в Edge политика PasswordManagerEnabled = false). Это может вызвать недовольство пользователей, но значительно повышает безопасность учётных данных.
  2. Внедрение корпоративного менеджера паролей (self-hosted решения). В таких системах пароли хранятся зашифрованными отдельно от браузера, а мастер-пароль не находится в памяти постоянно.
  3. Запрет сохранения паролей через реестр на терминальных серверах (для Edge и других браузеров).
  4. Повсеместное использование многофакторной аутентификации (MFA). Даже при компрометации пароля доступ без второго фактора невозможен.
  5. Изучение возможности перехода на passkeys (WebAuthn) — криптографические ключи не хранятся в памяти браузера в открытом виде. Ряд российских платформ (Госуслуги) уже поддерживают этот стандарт.
  6. Минимизация прав пользователей на терминальных серверах: запрет локальных администраторов, ограничение запуска exe-файлов через AppLocker или WDAC.
  7. Настройка мониторинга попыток чтения памяти процессов (Sysmon Event ID 10) с передачей событий в SIEM. Это позволяет фиксировать аномальную активность.
  8. Своевременное обновление браузеров и операционных систем. Microsoft в конце 2025 года выпустила обновление, которое шифрует пароли в памяти при переходе браузера в фоновый режим — хотя и не полностью.
  9. Регулярное обучение сотрудников и проведение внутренних фишинговых кампаний.
  10. Периодический аудит сохранённых паролей в браузерах (например, с помощью PowerShell-скриптов, проверяющих наличие папки Login Data в профилях).

Актуальность в 2026 году

По статистике обработки инцидентов одним из SOC, значительная часть атак с терминальных серверов использовала кражу паролей именно из памяти браузера Edge (в силу относительной простоты реализации). Злоумышленники выбирают наименее защищённые пути. Компании, которые работают с персональными данными (152-ФЗ) или относятся к объектам КИИ (187-ФЗ), должны учитывать эти риски при прохождении проверок.

Ответы на частые вопросы (на основе обращений клиентов)

  1. Исправила ли Microsoft уязвимость с паролями в памяти?
    Начиная с Edge 124+, появилось «шифрование паролей в фоновом режиме». Однако при активной сессии пароли всё ещё могут находиться в памяти в открытом виде. Полного архитектурного изменения на данный момент не зафиксировано.
  2. Почему терминальные серверы особенно опасны для Edge?
    Из-за возможности любого процесса с правами администратора или SYSTEM читать память всех пользователей. Edge поддерживает пароли в памяти постоянно, что упрощает их извлечение.
  3. Что делать, если есть подозрение на кражу паролей с RDP-сервера?
    Рекомендуется сменить все пароли, к которым имелся доступ из браузеров на сервере, проанализировать журналы входов за последние 30 дней, настроить мониторинг и отключить встроенный менеджер паролей.
  4. Существуют ли российские аналоги passkeys?
    Платформа «Госуслуги» поддерживает WebAuthn FIDO2. Также есть решения на базе Rutoken. Однако массового замещения паролей в бизнес-приложениях пока не произошло.
  5. Насколько критичен риск для домашнего пользователя?
    При единственном пользователе, отсутствии вредоносного ПО и гостевых аккаунтов риск невысок. При использовании публичных сетей, пиратского софта или при доступе третьих лиц рекомендуется отдельный менеджер паролей.
  6. Какова перспектива безопасности паролей в браузерах?
    Ожидается движение в сторону passkeys, биометрии и аппаратных токенов. Однако многие legacy-системы будут требовать пароли ещё несколько лет. Переход на специализированные менеджеры паролей — разумная стратегия уже сейчас.

Выводы и рекомендуемый алгоритм действий

На основе открытых данных и практики расследований можно сделать вывод: использование встроенного менеджера паролей Edge на терминальных серверах и в RDP-среде сопряжено с повышенными рисками. На домашних ПК при соблюдении базовой гигиены эти риски ниже, но в корпоративном сегменте требуют внимания.

Рекомендуемый алгоритм:

  • Запретить сохранение паролей во всех браузерах через групповые политики.
  • Внедрить корпоративный менеджер паролей (или решение типа KeePass с общей базой).
  • Включить MFA на критических сервисах (почта, VPN, биллинг, 1С).
  • На терминальных серверах настроить автоматическое завершение сессий браузеров через несколько часов бездействия.
  • Регулярно проводить аудит сохранённых паролей.

Это особенно важно для компаний, работающих с персональными данными по 152-ФЗ или являющихся объектами КИИ по 187-ФЗ. При проверках регуляторы обращают внимание на хранение учётных данных в памяти браузеров на терминальных серверах.

Если вам важно понять уровень защищённости вашей инфраструктуры в части хранения учётных данных, можно провести аудит внутренних политик и настроек. Специалисты помогут оценить текущие риски и подготовить дорожную карту приведения конфигураций к рекомендованным стандартам.

⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]