Thought Leadership
Microsoft Edge lädt alle Passwörter im Klartext in den Speicher. Microsoft nennt das Verhalten „beabsichtigt“ und plant vorerst keinen Fix.
Der norwegische Sicherheitsforscher Tom Jøran Sønstebyseter Rønning hat Untersuchungsergebnisse zum Umgang des Webbrowsers Microsoft Edge mit gespeicherten Benutzerdaten veröffentlicht. Seine Analyse zeigt, dass der Browser unmittelbar nach dem Programmstart sämtliche hinterlegten Passwörter entschlüsselt und im Klartext im Arbeitsspeicher (RAM) vorhält. Dieses Verhalten unterscheidet Microsoft Edge maßgeblich von anderen Browsern auf Chromium-Basis wie Google Chrome oder Brave, die strengere Sicherheitsmechanismen für den flüchtigen Speicher implementiert haben.
Systematische Entschlüsselung aller Zugangsdaten beim Browserstart
Laut Rønning lädt Microsoft Edge die Zugangsdaten in den sogenannten Elternprozess (Parent Process) der Anwendung. Dabei spielt es keine Rolle, ob der Nutzer im Verlauf seiner Sitzung eine Webseite besucht, für die diese Anmeldedaten benötigt werden. Sobald die Anwendung aktiv ist, befinden sich Benutzernamen und Passwörter ungeschützt im Prozessspeicher. Der Forscher demonstrierte diese Schwachstelle erstmals auf der Konferenz „BIG Bite of Tech“ in Norwegen und untermauerte seine Thesen später durch einen auf der Plattform X veröffentlichten Proof-of-Concept (PoC).
Im Gegensatz dazu verfolgt Google Chrome einen restriktiveren Ansatz. Dort werden Passwörter erst in dem Moment entschlüsselt, in dem sie tatsächlich für ein Autofill-Feld oder zur Ansicht durch den Nutzer angefordert werden. Zudem nutzt Chrome die Funktion „Application-Bound Encryption“ (ABE). Diese verschlüsselt die Daten so, dass der Zugriff auf den Schlüssel an den authentifizierten Browser-Prozess gebunden ist, der als System-Dienst läuft. Edge verzichtet nach aktuellem Stand auf diese zusätzliche Schutzebene, was das Auslesen des Speichers für Angreifer erheblich vereinfacht.
Microsoft deklariert das Verhalten als beabsichtigtes Design
Nachdem Rønning seine Entdeckung an Microsoft gemeldet hatte, erhielt er die offizielle Rückmeldung, dass dieses Verhalten „by design“, also beabsichtigt, sei. Die Argumentation des Softwarekonzerns basiert auf der klassischen Definition von Sicherheitsgrenzen: Sobald ein Angreifer Administratorrechte auf einem System erlangt hat, gilt das System als vollständig kompromittiert („All bets are off“). In diesem Szenario ist der Zugriff auf den Prozessspeicher ohnehin möglich, weshalb Microsoft die Speicherung im Klartext nicht als Sicherheitslücke im herkömmlichen Sinne einstuft.
IT-Sicherheitsexperten, unter anderem auf Plattformen wie Hacker News und durch das IT-Portal Heise.de, bestätigten die technischen Beobachtungen, kritisieren jedoch die Haltung des Herstellers. Zwar ist administrativer Zugriff eine kritische Hürde, doch das Vorhalten sensibler Daten im RAM ohne Notwendigkeit vergrößert die „Angriffsfläche“ unnötig. Während andere Browser versuchen, das Zeitfenster, in dem Passwörter im Klartext vorliegen, so klein wie möglich zu halten, lässt Edge diese Daten über die gesamte Dauer der Sitzung exponiert.
Erhöhtes Risiko in Unternehmensumgebungen und Terminalservern
Besonders brisant ist die Entdeckung für Organisationen, die Shared-Infrastructure-Lösungen wie Citrix, Virtual Desktop Infrastructure (VDI) oder Windows Terminal Server einsetzen. In diesen Umgebungen teilen sich viele Nutzer dieselbe Hardware und dasselbe Betriebssystem. Erlangen Angreifer oder bösartige Insider administrative Privilegien auf einem solchen Server, können sie den Arbeitsspeicher aller aktuell angemeldeten Nutzerprozesse auslesen.
Rønning demonstrierte mit seinem Tool „EdgeSavedPasswordsDumper“, dass es möglich ist, die Anmeldedaten anderer Benutzer in Echtzeit zu extrahieren, selbst wenn deren Edge-Instanz lediglich im Hintergrund läuft. Dies erleichtert die laterale Bewegung innerhalb von Unternehmensnetzwerken erheblich. Ein Angreifer muss nicht mehr mühsam lokale Datenbanken knacken oder Keylogger installieren, sondern kann die bereits entschlüsselten Daten direkt aus dem RAM abgreifen.
Schutzverantwortung liegt bei Administratoren und Endnutzern
Das vom Forscher auf GitHub bereitgestellte PoC-Tool wurde in C# geschrieben und zielt auf das .NET Framework 3.5 ab. Diese Wahl wurde laut Rønning bewusst getroffen, um die Erkennung durch moderne Sicherheitskontrollen wie das Antimalware Scan Interface (AMSI) zu erschweren. Das Tool identifiziert den korrekten Elternprozess von Edge, erkennbar an der fehlenden Kennzeichnung als Child-Prozess in der Befehlszeile, und führt einen Memory Dump durch.
Da Microsoft derzeit keine Pläne für eine Änderung der Architektur signalisiert hat, liegt die Verantwortung für Schutzmaßnahmen bei den Administratoren und Endnutzern. Für Unternehmen ist die effektivste Gegenmaßnahme das Setzen von Gruppenrichtlinien (Group Policies), die das Speichern von Passwörtern innerhalb des Browsers untersagen. Für Privatanwender bleibt die Empfehlung, auf dedizierte, externe Passwort-Manager oder moderne Authentifizierungsverfahren wie Passkeys umzusteigen, um die Abhängigkeit von der Browser-internen Speicherung zu minimieren.
