Como o Keeper Forcefield protege contra a vulnerabilidade das senhas do Microsoft Edge

Uma nova pesquisa mostra que o Microsoft Edge carrega todas as senhas salvas na memória em texto simples, e o Keeper Forcefield foi desenvolvido para proteger exatamente contra esse tipo de vulnerabilidade.

Um pesquisador de segurança publicou recentemente uma ferramenta funcional chamada EdgeSavedPasswordsDumper, que extrai credenciais armazenadas no Edge diretamente da memória de processo principal do navegador. Não é necessário explorar nenhuma vulnerabilidade, apenas ter privilégios de sistema suficientes. A Microsoft afirma que esse comportamento é intencional e não se comprometeu a corrigi-lo, o que significa que organizações que dependem do gerenciador de senhas embutido do Edge ficam expostas e não há previsão de correção.

Confira a seguir qual é realmente a vulnerabilidade, por que o armazenamento de senhas no navegador gera esse tipo de risco e como o Keeper trata isso de maneira diferente.

Qual é a vulnerabilidade das senhas no Microsoft Edge?

Quando você salva uma senha no Edge, essa credencial não fica armazenada na memória somente ao fazer login em algum lugar. O Edge carrega todas as senhas salvas na memória de processo principal de uma só vez, ou seja, todos os nomes de usuário e senhas ficam lá em texto simples sempre que o navegador está aberto. Um atacante ou malware com acesso local à máquina pode despejar essa memória e sair com todo o conjunto de credenciais.

O pesquisador também testou o Chrome e o Brave e não encontrou o mesmo comportamento, o que sugere que isso é específico de como o Edge se integra ao Microsoft Password Manager, e não de uma falha compartilhada entre navegadores baseados em Chromium.

Ferramentas padrão do Windows, como o Gerenciador de Tarefas, são suficientes para identificar o processo correto e despejar seu conteúdo. O pesquisador também construiu a prova de conceito (Proof-of-Concept – PoC) no .NET Framework 3.5, uma escolha deliberada para evitar acionar ferramentas modernas de varredura de segurança, como o AMSI, o que significa que o ataque pode rodar em uma máquina comprometida sem ativar as defesas das quais a maioria das organizações depende.

A posição da Microsoft, de que esse comportamento é intencional, não oferece nenhuma alternativa para as organizações que aguardam uma correção do fornecedor. A única solução viável é remover completamente o armazenamento de senhas do Edge.

Por que armazenar senhas no navegador representa um risco de segurança

A vulnerabilidade do Edge é um exemplo claro do risco que vem com o armazenamento de senhas baseado em navegador. Quando as credenciais ficam armazenadas em um navegador, elas estão vinculadas ao processo desse navegador. A questão não é se elas estão na memória, pois elas estão sempre que o navegador está em execução. É o quão exposta essa memória está e o quão difícil é acessá-la.

A forte integração do Edge com o Microsoft Password Manager parece torná-lo significativamente mais vulnerável do que outros navegadores baseados no Chromium. Mas o problema subjacente, credenciais que podem ser acessadas na memória do navegador por qualquer pessoa com acesso local, não é exclusivo do Edge. Os infostealers, uma categoria de malware criada especificamente para coletar credenciais de navegadores, têm como alvo essa superfície de ataque há anos.

O gerenciamento de senhas baseado em navegador é conveniente, e é exatamente por isso que as pessoas o utilizam. Mas conveniência e segurança tendem a seguir direções opostas, e a vulnerabilidade do Edge é uma ilustração útil de como essa compensação se apresenta na prática.

Como o Keeper Forcefield protege contra o roubo de senhas do navegador

Esse é exatamente o tipo de ataque que o Keeper Forcefield foi feito para bloquear.

No Windows, por padrão, os aplicativos executados na mesma conta de usuário podem acessar a memória uns dos outros, e é exatamente isso que o EdgeSavedPasswordsDumper explora. O Keeper Forcefield resolve isso no nível do kernel, instalando um driver leve que monitora e restringe o acesso à memória de aplicativos protegidos. Quando um processo não confiável tenta ler a memória de um aplicativo protegido, o driver o bloqueia. Os processos confiáveis do sistema continuam a funcionar normalmente; apenas o acesso não autorizado é interrompido.

Isso se concretiza na chamada OpenProcess destacada na captura de tela do código acima. Essa é a etapa em que o despejador tenta se anexar ao processo principal do Edge e ler sua memória. Em uma máquina que está executando o Keeper Forcefield, essa chamada falha. O driver do kernel intercepta a solicitação de acesso antes que qualquer memória possa ser lida, interrompendo o ataque na etapa da qual depende.

O Keeper Forcefield protege tanto os próprios aplicativos Keeper quanto os principais navegadores, incluindo Chrome, Firefox, Edge, Brave, Opera e Vivaldi, assim a proteção é aplicada independentemente do navegador que a sua organização utiliza. Ele é executado silenciosamente em segundo plano sem afetar o desempenho do sistema nem do aplicativo e pode ser ativado diretamente do app Keeper Desktop ou implantado silenciosamente em endpoints por meio do Intune, de política de grupo ou de uma ferramenta de RMM.

Como proteger suas senhas contra a vulnerabilidade do Microsoft Edge

Se a sua organização utiliza o gerenciador de senhas integrado do Edge, qualquer máquina com o Edge aberto terá as credenciais armazenadas em texto simples na memória. Em uma máquina comprometida ou compartilhada, esse é um caminho direto para uma violação de segurança.

A solução prática é mover as senhas do navegador para um gerenciador de senhas dedicado, como o Keeper, que funciona independentemente do processo do navegador. Se as credenciais nunca forem armazenadas na memória do navegador, não haverá nada para extrair de lá. Além disso, a habilitação do Keeper Forcefield adiciona proteção em nível do kernel nos navegadores, impedindo que processos não autorizados leiam a memória do aplicativo mesmo que um malware já esteja rodando na máquina.

O resultado final

As organizações não podem ficar esperando por uma correção que não virá do fornecedor. Se a sua equipe usa o gerenciador de senhas integrado do Edge, a exposição está ativa neste momento. Transfira as credenciais para um gerenciador de senhas dedicado e implemente o Keeper Forcefield para garantir que, mesmo se uma máquina for comprometida, não haja nada na memória do navegador que possa ser extraído.

Para saber como o Keeper ForceField protege os endpoints da sua organização, comece uma avaliação gratuita do Keeper hoje mesmo.