Как Keeper Forcefield защищает от уязвимости паролей в Microsoft Edge

По данным нового исследования, Microsoft Edge загружает все сохраненные пароли в оперативную память в открытом виде, а Keeper Forcefield создавался как раз для защиты от подобных уязвимостей.

Недавно исследователь в области кибербезопасности опубликовал рабочий инструмент EdgeSavedPasswordsDumper, который извлекает учетные данные прямо из памяти родительского процесса браузера. Для перехвата паролей не требуются эксплойты, достаточно соответствующих системных привилегий. В Microsoft заявили, что такая логика работы заложена изначально, и выпускать исправление они не планируют. В итоге компании, использующие менеджер паролей Edge, остаются уязвимыми, а патча не предвидится.

Разбираемся, в чем суть уязвимости, почему хранение паролей в браузере создает риски и как Keeper решает эту проблему.

В чем суть уязвимости Microsoft Edge?

Когда вы сохраняете пароль в Edge, браузер не просто сохраняет его в памяти на время авторизации. Он сразу переносит все учетные данные в память родительского процесса. Пока программа работает, эта информация остается незашифрованной. Злоумышленнику или вредоносному ПО с локальным доступом к устройству достаточно считать содержимое памяти, чтобы завладеть полным набором паролей.

В ходе проверок Chrome и Brave исследователь не выявил аналогичного поведения. Следовательно, проблема связана именно с тем, как Edge взаимодействует с менеджером паролей Microsoft, а не является общей для всех браузеров на базе Chromium.

Выявить нужный процесс и извлечь информацию можно с помощью стандартных средств Windows, таких как Диспетчер задач. Свой тестовый инструмент (PoC) специалист намеренно написал на старом .NET Framework 3.5 для обхода современных сканеров безопасности вроде AMSI. Иными словами, на скомпрометированной машине атака пройдет совершенно незаметно для систем защиты, которые обычно используют компании.

Поскольку в Microsoft считают такое поведение штатным, корпоративным пользователям не стоит ждать скоро устранения проблемы. Единственный надежный способ обезопасить себя — перестать сохранять пароли в Edge.

Почему хранить пароли в браузере опасно

Уязвимость Edge — яркий пример риска, связанного с хранением паролей в браузере. Когда учетные данные хранятся в браузере, они привязаны к процессу этого браузера. Дело не в том, попадают ли они в оперативную память — они остаются там все время, пока программа работает. Дело в том, насколько эта память уязвима и насколько трудно к ней получить доступ.

Судя по всему, глубокая интеграция с менеджером паролей Microsoft делает Edge гораздо уязвимее других браузеров на базе Chromium. Однако фундаментальная проблема — доступность учетных данных для любого, кто имеет локальный доступ к устройству, — характерна не только для Edge. Инфостилеры (вредоносное ПО, созданное специально для перехвата браузерных паролей) эксплуатируют эту особенность уже много лет.

Встроенные менеджеры паролей удобны, и именно поэтому они так популярны. Но в этом случае комфорт идет вразрез с безопасностью, а ситуация с Edge отлично иллюстрирует, чем на практике оборачивается подобный компромисс.

Как Keeper Forcefield защищает от кражи паролей из браузера

Keeper Forcefield разработан для предотвращения подобных атак.

По умолчанию в Windows программы, запущенные под одной учетной записью, имеют доступ к памяти друг друга. Именно эту особенность и эксплуатирует EdgeSavedPasswordsDumper. Keeper Forcefield устраняет проблему на уровне ядра операционной системы. Решение устанавливает компактный драйвер, который контролирует и ограничивает доступ к памяти защищаемых приложений. Если ненадёжный процесс пытается считать оттуда данные, драйвер его блокирует. Доверенные системные процессы продолжают работать в штатном режиме — пресекается только несанкционированный доступ.

Наглядно это видно на примере вызова функции OpenProcess, который выделен на скриншоте кода выше. Именно на этом этапе инструмент пытается подключиться к родительскому процессу Edge, чтобы считать данные из памяти. На устройствах с Keeper Forcefield это действие не сработает. Драйвер уровня ядра перехватывает запрос на доступ еще до начала чтения данных, прерывая атаку на самом важном этапе.

Keeper Forcefield защищает не только собственные приложения Keeper, но и все популярные браузеры, включая Chrome, Firefox, Edge, Brave, Opera и Vivaldi. Ваша инфраструктура будет в безопасности независимо от того, какой браузер использует компания. Решение работает в фоновом режиме, не снижая производительность системы или других программ. Его можно включить напрямую в Keeper Desktop или развернуть на конечных устройствах в тихом режиме с помощью Intune, групповых политик или RMM-систем.

Как защитить пароли от уязвимости в Microsoft Edge

Если компания использует встроенный менеджер паролей Edge, учетные данные остаются в памяти устройства без шифрования все время, пока браузер запущен. На скомпрометированном или общем устройстве это прямой путь к утечке.

Самый надежный выход — перенести пароли в специализированный менеджер вроде Keeper, который работает независимо от процессов браузера. Если учетные данные не хранятся в памяти браузера, то из нее нечего извлечь. Keeper Forcefield дает дополнительную защиту на уровне ядра для всех ваших браузеров. Система заблокирует неавторизованным процессам доступ к памяти приложений, даже если вредоносная программа уже запущена на устройстве.

Подводим итоги

Ждать официального патча бессмысленно — его не будет. Если сотрудники хранят пароли во встроенном менеджере Edge, бизнес уязвим прямо сейчас. Перенесите учетные данные в специализированный менеджер паролей и разверните Keeper Forcefield. Тогда, даже если злоумышленники получат доступ к устройству, в памяти браузера им будет просто нечего красть

Начните бесплатный пробный период Keeper уже сегодня и оцените на практике, как Keeper Forcefield защищает корпоративные устройства.