Jak Keeper Forcefield chroni przed luką dotyczącą haseł w przeglądarce Microsoft Edge

Nowe badania pokazują, że Microsoft Edge ładuje wszystkie zapisane hasła do pamięci w postaci niezaszyfrowanego tekstu, a Keeper Forcefield został stworzony właśnie po to, aby chronić przed tego typu podatnościami.

Badacz bezpieczeństwa opublikował niedawno działające narzędzie o nazwie EdgeSavedPasswordsDumper, które wyodrębnia dane uwierzytelniające zapisane w przeglądarce Edge bezpośrednio z pamięci procesu nadrzędnego przeglądarki. Nie wymaga ono wykorzystania żadnej luki – wystarczą odpowiednie uprawnienia w systemie. Microsoft twierdzi, że takie działanie jest zamierzone i nie zobowiązał się do jego zmiany, co oznacza, że organizacje korzystające z wbudowanego menedżera haseł Edge pozostają narażone na ryzyko i nie mogą liczyć na poprawkę.

Przyjrzyjmy się bliżej temu, na czym polega podatność, dlaczego przechowywanie haseł w przeglądarce wiąże się z takim ryzykiem oraz jak Keeper podchodzi do tego problemu w inny sposób.

Czym jest podatność dotycząca haseł w Microsoft Edge?

Po zapisaniu hasła w Edge dane uwierzytelniające nie są przechowywane w pamięci wyłącznie podczas logowania. Edge jednocześnie ładuje do pamięci procesu nadrzędnego wszystkie zapisane hasła – każda nazwa użytkownika i każde hasło pozostają dostępne w postaci niezaszyfrowanego tekstu przez cały czas działania przeglądarki. Atakujący lub złośliwe oprogramowanie mające lokalny dostęp do urządzenia może zrzucić zawartość tej pamięci i uzyskać pełny zestaw danych uwierzytelniających.

Badacz przetestował również przeglądarki Chrome i Brave i nie zaobserwował takiego zachowania, co sugeruje, że problem wynika ze sposobu integracji Edge z Microsoft Password Manager, a nie z podatności wspólnej dla wszystkich przeglądarek opartych na Chromium.

Do zidentyfikowania właściwego procesu i wykonania zrzutu jego zawartości wystarczą standardowe narzędzia systemu Windows, takie jak Menedżer zadań. Badacz stworzył także dowód koncepcji (PoC) w środowisku .NET Framework 3.5. Był to celowy wybór mający na celu uniknięcie wykrycia przez nowoczesne mechanizmy skanowania bezpieczeństwa, takie jak AMSI. Oznacza to, że atak może zostać przeprowadzony na przejętym urządzeniu bez uruchamiania zabezpieczeń, na których polega większość organizacji.

Stanowisko Microsoftu, zgodnie z którym takie zachowanie jest zamierzone, nie pozostawia organizacjom oczekującym na poprawkę żadnej ścieżki naprawy. Jedynym skutecznym rozwiązaniem jest całkowite zaprzestanie przechowywania haseł w Edge.

Dlaczego przechowywanie haseł w przeglądarce stanowi zagrożenie bezpieczeństwa?

Podatność przeglądarki Edge jest wyraźnym przykładem ryzyka związanego z przechowywaniem haseł w przeglądarce. Gdy dane uwierzytelniające są przechowywane w przeglądarce, są powiązane z procesem tej przeglądarki. Pytanie nie brzmi, czy znajdują się w pamięci – ponieważ znajdują się tam zawsze, gdy przeglądarka jest uruchomiona. Kluczowe jest to, jak łatwo można uzyskać dostęp do tej pamięci i jak dobrze jest ona chroniona.

Ścisła integracja Edge z Microsoft Password Manager wydaje się czynić tę przeglądarkę znacznie bardziej podatną na tego typu zagrożenia niż inne przeglądarki oparte na Chromium. Jednak podstawowy problem – dane uwierzytelniające dostępne w pamięci przeglądarki dla każdego, kto uzyska lokalny dostęp do urządzenia – nie dotyczy wyłącznie przeglądarki Edge. Infostealery, czyli kategoria złośliwego oprogramowania stworzonego specjalnie do pozyskiwania danych uwierzytelniających z przeglądarek, od lat wykorzystują tę powierzchnię ataku.

Przeglądarkowe zarządzanie hasłami jest wygodne i właśnie dlatego jest tak popularne. Jednak wygoda i bezpieczeństwo pozostają w tym przypadku w konflikcie, a podatność Edge stanowi dobry przykład tego, jak taki kompromis wygląda w praktyce.

Jak Keeper Forcefield chroni przed kradzieżą haseł z przeglądarek?

To właśnie przed tego rodzaju atakami ma chronić Keeper Forcefield.

W systemie Windows aplikacje działające na tym samym koncie użytkownika mogą domyślnie uzyskiwać dostęp do pamięci innych aplikacji. To właśnie ten mechanizm wykorzystuje EdgeSavedPasswordsDumper. Keeper Forcefield rozwiązuje ten problem na poziomie jądra systemu, instalując lekki sterownik monitorujący i ograniczający dostęp do pamięci chronionych aplikacji. Gdy niezaufany proces próbuje odczytać pamięć chronionej aplikacji, sterownik blokuje takie działanie. Zaufane procesy systemowe nadal działają prawidłowo – blokowany jest wyłącznie nieautoryzowany dostęp.

Praktyczne znaczenie tego rozwiązania najlepiej widać na wywołaniu OpenProcess przedstawionym na zrzucie kodu. To właśnie na tym etapie narzędzie próbujące wyodrębnić hasła usiłuje połączyć się z procesem nadrzędnym Edge i odczytać jego pamięć. Na urządzeniu z aktywnym Keeper Forcefield takie wywołanie kończy się niepowodzeniem. Sterownik jądra przechwytuje żądanie dostępu, zanim jakiekolwiek dane z pamięci zostaną odczytane, zatrzymując atak w kluczowym momencie.

Keeper Forcefield chroni zarówno własne aplikacje Keeper, jak i najpopularniejsze przeglądarki, w tym Chrome, Firefox, Edge, Brave, Opera oraz Vivaldi, dzięki czemu ochrona działa niezależnie od tego, z jakiej przeglądarki korzysta organizacja. Rozwiązanie działa w tle bez wpływu na wydajność systemu i aplikacji. Można je aktywować bezpośrednio z aplikacji Keeper Desktop lub wdrożyć bezobsługowo na punktach końcowych endpoint za pomocą Intune, Group Policy albo narzędzia RMM.

Jak chronić hasła przed podatnością Microsoft Edge?

Jeśli organizacja korzysta z wbudowanego menedżera haseł Edge, każda maszyna z uruchomioną przeglądarką przechowuje dane uwierzytelniające w pamięci w postaci niezaszyfrowanego tekstu. Na przejętym lub współdzielonym urządzeniu jest to prosta droga do naruszenia bezpieczeństwa.

Najbardziej praktycznym rozwiązaniem jest przeniesienie haseł z przeglądarki do dedykowanego menedżera haseł, takiego jak Keeper, który działa niezależnie od procesu przeglądarki. Jeżeli dane uwierzytelniające nigdy nie są przechowywane w pamięci przeglądarki, nie można ich z niej wyodrębnić. Dodatkowe włączenie Keeper Forcefield zapewnia ochronę na poziomie jądra systemu we wszystkich przeglądarkach, blokując nieautoryzowanym procesom dostęp do pamięci aplikacji nawet wtedy, gdy złośliwe oprogramowanie jest już uruchomione na urządzeniu.

Najważniejsze kwestie

Organizacje nie mogą czekać na poprawkę od dostawcy, która prawdopodobnie się nie pojawi. Jeżeli zespół korzysta z wbudowanego menedżera haseł Edge, zagrożenie istnieje już teraz. Przenieś dane uwierzytelniające do dedykowanego menedżera haseł i wdroż Keeper Forcefield, aby mieć pewność, że nawet w przypadku przejęcia urządzenia w pamięci przeglądarki nie będzie niczego, co można wyodrębnić.

Aby przekonać się, jak Keeper Forcefield chroni punkty końcowe endpoint w Państwa organizacji, warto już dziś rozpocząć bezpłatny okres próbny Keeper.