ADSENSE
|
Edge password in chiaro: dump memoria non è un problema
La sicurezza online è un tema sempre più rilevante, e la gestione delle credenziali è fondamentale.
Recentemente, è emersa una discussione riguardo la possibilità di recuperare le Edge password in chiaro direttamente dalla memoria del browser.
Questo fenomeno, sebbene possa sembrare allarmante, è stato classificato da Microsoft come un “comportamento previsto” e non come una vulnerabilità critica.
La memorizzazione delle credenziali nei browser
I browser web, come Microsoft Edge, hanno la funzione di memorizzare nomi utente e password per facilitare l’accesso ai siti.
Queste credenziali vengono salvate localmente e protette tramite chiavi derivate dall’utente autenticato nel sistema operativo.
Nel contesto di Windows, Edge si avvale dell’API di protezione dati (DPAPI), un componente integrato nel sistema Microsoft da tempo.
DPAPI lega la cifratura all’account utente locale o di dominio.
Questo significa che un software malevolo, se eseguito con gli stessi privilegi dell’utente, potrebbe potenzialmente accedere ai dati protetti senza dover decifrare le informazioni.
Perché i password manager dei browser sono meno sicuri
In virtù di questa architettura, i password manager integrati nei browser sono spesso considerati meno sicuri rispetto a soluzioni professionali.
Questi ultimi offrono generalmente una protezione più robusta, non solo tramite una passphrase principale, ma anche attraverso l’autenticazione a due fattori.
La protezione offerta dai browser è principalmente contro accessi offline o furti del database locale, ma non contro compromissioni attive della sessione utente.
Edge, ad esempio, salva le credenziali in un database SQLite chiamato “Login Data”, con valori cifrati tramite chiavi AES protette da DPAPI.
Nonostante funzionalità aggiuntive come Password Monitor e l’integrazione con Windows Hello, ogni nuova funzione può ampliare la superficie di attacco.
Il problema del credential dumping e la posizione di microsoft
La questione delle password in chiaro in Microsoft Edge ha attirato l’attenzione, specialmente in relazione al “credential dumping”.
Non si tratta di password archiviate permanentemente in chiaro nel database locale del browser, ma piuttosto di scenari in cui le credenziali possono diventare leggibili.
Questo avviene durante operazioni come esportazioni CSV, passaggi temporanei in memoria, sincronizzazioni o visualizzazioni richieste dall’utente.
Quando l’utente desidera visualizzare le password o farle inserire automaticamente nei moduli web, il browser deve necessariamente decifrare le informazioni.
Come avviene il recupero delle password in chiaro
Strumenti offensivi e malware specializzati possono sfruttare il “credential dumping” leggendo aree di memoria dei processi del browser per trovare credenziali in forma leggibile.
Framework come Mimikatz hanno dimostrato per anni quanto la memoria di sistema possa essere un bersaglio privilegiato.
Anche se Windows 11 ha introdotto mitigazioni significative, come la protezione VBS (Virtualization Based Security), il browser rimane un’applicazione user-space.
Se il sistema è già compromesso con privilegi adeguati, un attaccante può intercettare dati riservati prima che vengano nuovamente cifrati sul disco. È possibile verificare questo comportamento creando un dump della memoria di Edge tramite il Task Manager e utilizzando utility come Strings di Microsoft-Sysinternals per cercare le credenziali.
La risposta di microsoft
Microsoft ha dichiarato che questo comportamento non costituisce una vulnerabilità critica.
L’azienda sostiene che l’accesso alla memoria del browser richiede una compromissione preventiva del dispositivo e privilegi adeguati sul sistema.
Secondo Microsoft, il rischio principale non risiede nel password manager di Edge, ma nella presenza di malware già installato localmente con accesso ai processi utente.
Tuttavia, critici sottolineano che mantenere grandi quantità di credenziali già decifrate in RAM aumenta inevitabilmente il rischio di “memory scraping” e “credential dumping”.