Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft zapowiedział zmianę w przeglądarce Edge, która ma wyeliminować ładowanie zapisanych haseł do pamięci procesu w postaci jawnej podczas uruchamiania aplikacji. Sprawa dotyczy wbudowanego menedżera haseł i sposobu, w jaki przeglądarka przygotowywała dane uwierzytelniające do użycia jeszcze przed faktycznym sięgnięciem po konkretne hasło.
Choć producent początkowo uznawał takie zachowanie za zgodne z założeniami projektowymi, po publicznej krytyce i analizie ryzyka zdecydował się wdrożyć mechanizm ograniczający ekspozycję poufnych danych w pamięci.
W skrócie
Badacz bezpieczeństwa ujawnił, że Microsoft Edge odszyfrowywał zapisane hasła przy starcie i przechowywał je w pamięci procesu, nawet jeśli użytkownik nie korzystał z nich w danej chwili. W praktyce oznaczało to możliwość pozyskania poświadczeń z pamięci przez narzędzia działające lokalnie, szczególnie przy podwyższonych uprawnieniach.
Microsoft początkowo utrzymywał, że scenariusz mieści się w przyjętym modelu zagrożeń, ale ostatecznie ogłosił zmianę typu defense-in-depth. Poprawka jest już dostępna w kanale Canary i ma trafić do wszystkich wspieranych wersji Edge od kompilacji 148 wzwyż.
Kontekst / historia
Publiczne ujawnienie problemu nastąpiło na początku maja 2026 roku, gdy badacz Tom Jøran Sønstebyseter Rønning opisał zachowanie Edge i zaprezentował dowód koncepcji pokazujący możliwość wydobycia haseł z pamięci procesu. Według opisu badacza Edge miał różnić się od innych przeglądarek opartych na Chromium, ponieważ przechowywał odszyfrowane dane logowania w sposób ułatwiający ich odczyt z pamięci operacyjnej.
Kluczowym elementem sporu był nie sam fakt dostępu do haseł po pełnym przejęciu urządzenia, lecz decyzja projektowa zwiększająca powierzchnię ekspozycji danych. Microsoft argumentował, że jeżeli atakujący posiada już uprawnienia administracyjne lub możliwość lokalnego uruchamiania złośliwego kodu, to kompromitacja systemu wykracza poza granice ochrony zapewnianej przez przeglądarkę.
Po nagłośnieniu sprawy producent zmienił stanowisko operacyjne. Zamiast podtrzymywać wyłącznie interpretację „zgodne z projektem”, Microsoft ogłosił modyfikację zachowania Edge jako usprawnienie obrony warstwowej i element szerszego podejścia do redukcji ryzyka.
Analiza techniczna
Sedno problemu polegało na tym, że Edge podczas uruchamiania ładował zapisane poświadczenia do pamięci procesu w postaci jawnej, zanim użytkownik realnie ich potrzebował. Z perspektywy bezpieczeństwa jest to istotne, ponieważ dane przechowywane w pamięci operacyjnej mogą zostać odczytane przez procesy lokalne dysponujące odpowiednimi uprawnieniami, narzędzia do analizy pamięci, debugery lub malware działające na zainfekowanym hoście.
Tego typu ekspozycja nie oznacza zdalnej podatności umożliwiającej przejęcie haseł przez samą stronę internetową. Jest to raczej problem związany z post-exploitation, czyli etapem po uzyskaniu dostępu do systemu. Jeżeli jednak przeglądarka przechowuje większą liczbę wrażliwych danych dłużej niż to konieczne, znacząco ułatwia atakującemu późniejszy ruch w środowisku, eskalację wpływu oraz kradzież danych uwierzytelniających do innych usług.
Istotne są tu dwa aspekty techniczne:
- niebezpieczne jest odszyfrowywanie wszystkich haseł z góry, zamiast stosowania modelu „just in time”, w którym dane są ujawniane dopiero przy konkretnym użyciu,
- problem dotyczy czasu życia sekretu w pamięci, ponieważ nawet dobrze chroniony magazyn poświadczeń traci część wartości ochronnej po odszyfrowaniu danych do pamięci procesu.
Microsoft podkreślił, że nie traktuje tego jako nowej ścieżki ataku na użytkowników bez wcześniejszej kompromitacji urządzenia. Z technicznego punktu widzenia jest to trafne w wąskim sensie modelu zagrożeń. Jednocześnie decyzja o zmianie potwierdza, że wcześniejsze zachowanie zwiększało praktyczną dostępność sekretów dla przeciwnika obecnego już na stacji roboczej.
Konsekwencje / ryzyko
Największe ryzyko dotyczy środowisk, w których atakujący uzyskał już lokalny dostęp do systemu, uruchomił malware lub zdobył uprawnienia administratora. W takim scenariuszu łatwiejszy odczyt haseł z pamięci przeglądarki może przyspieszyć przejęcie kont firmowych, skrzynek pocztowych, usług SaaS, paneli administracyjnych i zasobów chmurowych.
W środowiskach enterprise konsekwencje mogą być istotne także z punktu widzenia ruchu bocznego. Hasła pozyskane z przeglądarki często umożliwiają dalszy dostęp do systemów spoza lokalnego hosta. Nawet jeśli organizacja wdraża uwierzytelnianie wieloskładnikowe, część usług nadal może opierać się na sesjach, tokenach lub mechanizmach awaryjnych, które zwiększają wartość przechwyconych danych.
Dla użytkowników indywidualnych zagrożenie jest mniej spektakularne niż w przypadku zdalnej luki RCE, ale nadal realne. Jeżeli urządzenie zostanie zainfekowane infostealerem lub narzędziem do dumpowania pamięci, menedżer haseł przeglądarki może stać się wygodnym źródłem danych.
Rekomendacje
Organizacje korzystające z Microsoft Edge powinny w pierwszej kolejności dopilnować szybkiego wdrożenia aktualizacji do wersji obejmujących kompilację 148 lub nowszą. W środowiskach zarządzanych centralnie warto zweryfikować harmonogram aktualizacji dla kanałów Stable, Beta, Dev, Canary oraz Extended Stable, aby upewnić się, że poprawka trafia do wszystkich profili użytkowników.
Równolegle zalecane jest ograniczenie ryzyka kradzieży poświadczeń z pamięci poprzez:
- egzekwowanie zasady najmniejszych uprawnień na stacjach roboczych,
- ograniczenie lokalnych uprawnień administratora,
- wdrożenie ochrony EDR/XDR wykrywającej dumpowanie pamięci i nadużycia narzędzi diagnostycznych,
- monitorowanie procesów próbujących uzyskać dostęp do pamięci przeglądarki,
- blokowanie nieautoryzowanych sterowników i narzędzi post-exploitation,
- stosowanie MFA dla wszystkich usług krytycznych,
- przegląd zasad dotyczących używania wbudowanych menedżerów haseł w środowiskach o podwyższonych wymaganiach bezpieczeństwa.
Warto również przeanalizować, czy polityka bezpieczeństwa przeglądarek dopuszcza przechowywanie szczególnie wrażliwych poświadczeń lokalnie. W niektórych organizacjach uzasadnione może być przeniesienie części sekretów do wyspecjalizowanych menedżerów haseł klasy enterprise, z dodatkowymi mechanizmami kontroli dostępu, audytu i izolacji.
Z perspektywy architektury bezpieczeństwa incydent stanowi przypomnienie, że model zagrożeń nie powinien kończyć się na pytaniu, czy przeciwnik „już jest w systemie”. Dobre praktyki defense-in-depth wymagają minimalizowania ekspozycji sekretów także po częściowej kompromitacji hosta.
Podsumowanie
Zmiana w Microsoft Edge nie wynika z klasycznej podatności zdalnej, lecz z potrzeby ograniczenia ekspozycji zapisanych haseł w pamięci procesu. Ujawnione zachowanie mieściło się według producenta w dotychczasowym modelu zagrożeń, ale jednocześnie zwiększało praktyczne ryzyko kradzieży poświadczeń po przejęciu urządzenia.
Decyzja o wdrożeniu poprawki pokazuje rosnące znaczenie podejścia defense-in-depth w ochronie przeglądarek i danych uwierzytelniających. Dla zespołów bezpieczeństwa oznacza to konieczność szybkiego aktualizowania Edge oraz dalszego wzmacniania kontroli utrudniających dostęp do pamięci procesów i lokalnych sekretów.
Źródła
- Microsoft backpedals: Edge to stop loading passwords into memory — https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-to-stop-loading-cleartext-passwords-in-memory-on-startup/
- Saved passwords in Edge memory: what we’re changing and why — https://microsoftedge.github.io/edgevr/posts/Saved-passwords-in-Edge-memory-what-were-changing-and-why/
- Tom Jøran Sønstebyseter Rønning – public disclosure thread — https://x.com/j0r1an/status/1918990499944864069
- Proof-of-concept for extracting Edge passwords from memory — https://github.com/j0r1an/EdgePasswordsDump