江蘇
關鍵詞
數據泄露
研究發現
一位安全研究人員發現,微軟Edge瀏覽器在啟動瞬間會將所有存儲的密碼解密至進程內存,并以明文形式持續駐留——無論用戶是否訪問過相關網站。這項由PaloAltoNtwks Norway研究員@L1v1ng0ffTh3L4N于4月29日在BigBiteOfTech披露的發現,源于對主流Chromium瀏覽器憑證內存處理機制的系統性測試。
對比分析
Edge是唯一存在該行為的瀏覽器,其啟動時會將整個密碼庫以明文形式加載至進程內存,并在整個會話期間保留。這與谷歌Chrome形成鮮明對比:
Chrome采用按需解密機制,僅在自動填充或用戶顯式查看密碼時解密憑證
通過應用綁定加密(App-Bound Encryption)技術,將解密密鑰與經過身份驗證的Chrome進程進行密碼學綁定,防止其他進程復用密鑰訪問憑證
Edge缺乏上述保護機制,從瀏覽器啟動起,密碼庫中所有站點的憑證都以明文形式存在于進程內存中,這為能夠讀取進程內存的攻擊者提供了持續、廣泛的憑證提取目標。更矛盾的是:
Edge在密碼管理器界面仍會要求用戶重新認證才顯示密碼
但瀏覽器進程早已以明文形式持有全部憑證,任何能查詢進程內存者均可獲取
這種重新認證機制僅營造了訪問控制的假象,對基于內存的憑證提取毫無防護作用。在遠程桌面服務(RDS)或終端服務器等多用戶環境中,風險尤為嚴重——具備管理員權限的攻擊者可同時讀取所有登錄用戶進程的內存。
概念驗證
隨披露公布的概念驗證視頻顯示,攻擊者通過受控管理員賬戶成功從其他兩名登錄用戶(包括會話已斷開但進程仍活躍的用戶)的Edge瀏覽器進程內存中提取出存儲憑證。這使單次管理員賬戶淪陷演變為整個多用戶環境的憑證全面泄露,直接對應MITRE ATT&CK攻擊框架中的T1555.003(從Web瀏覽器獲取憑證)技術。
廠商回應
微軟在接到負責任的漏洞披露后回應稱該行為"符合設計"。其公開文檔承認瀏覽器內存中的憑證在本地攻擊場景下可能被讀取,但將此類場景劃歸為"超出瀏覽器威脅模型"。
應對建議
BigBiteOfTech同期發布了小型驗證工具供用戶確認Edge是否存在明文憑證內存駐留現象。安全團隊應特別注意:
部署Edge的Windows終端服務器、虛擬桌面(VDI)等共享訪問系統需將此視為高優先級配置風險
建議遷移至具備按需解密和應用綁定加密機制的瀏覽器,直至微軟修正該設計
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
