密码 
Keeper 的安全共享机制通过记录级加密密钥对数据
最新研究显示,Microsoft Edge 会将所有已保存密码以明文形式加载至内存,而 Keeper Forcefield 正是专为防范此类漏洞而打造。
近日,一名安全研究人员发布了一款名为 EdgeSavedPasswordsDumper 的工具,可直接从浏览器父进程内存中提取存储于 Edge 的凭证信息。 无需借助任何漏洞利用技术,只要具备足够的系统权限即可。 Microsoft 表示,这种行为属于产品设计的一部分,并未承诺进行修复。这意味着依赖 Edge 内置密码管理器的组织将持续面临安全暴露风险,且暂无补丁可供部署。
下文将解析这一漏洞的本质、浏览器存储密码为何会带来此类风险,以及 Keeper 如何通过不同方式加以应对。
什么是 Microsoft Edge 密码漏洞?
在 Edge 中保存密码后,浏览器并非仅在用户登录相关网站时才将该凭证载入内存。 Edge 会一次性将所有已保存密码加载至其父进程内存中。只要浏览器处于开启状态,所有用户名和密码都会以明文形式驻留在内存中。 攻击者或获得设备本地访问权限的恶意软件,可通过转储内存直接获取全部凭证信息。
研究人员还对 Chrome 和 Brave 进行了测试,并未发现类似行为。这表明该问题源于 Edge 与 Microsoft Password Manager 的集成机制,而非 Chromium 内核浏览器普遍存在的缺陷。
借助任务管理器等 Windows 原生工具,便足以定位目标进程并转储其内存内容。研究人员还特意基于 .NET Framework 3.5 开发了概念验证(PoC)工具,以规避 AMSI 等现代安全扫描机制。这意味着攻击程序即使在已遭入侵的设备上运行,也可能绕过大多数组织依赖的安全防护措施。
Microsoft 坚称该行为属于既定设计,这也意味着寄希望于厂商修复的组织目前并无明确的缓解途径。 真正有效的解决方案,是彻底停止在 Edge 中存储密码。
为什么将密码存储在浏览器中会带来安全风险
Edge 的这一漏洞,正是浏览器密码存储机制固有风险的典型体现。 当凭证存储于浏览器中时,它们本质上会与浏览器进程绑定。 问题并不在于这些凭证是否会进入内存——只要浏览器运行,它们就必然存在于内存之中。 关键在于这些内存数据暴露到何种程度,以及获取它们的难易程度。
Edge 与 Microsoft Password Manager 的深度集成,似乎使其面临的风险远高于其他基于 Chromium 的浏览器。 但其根本问题——拥有本地访问权限的实体能够获取浏览器内存中的凭证——并非 Edge 独有。信息窃取程序是一类专门窃取浏览器凭证的恶意软件,多年来一直将这一攻击面作为主要目标。
浏览器内置密码管理功能之所以广受欢迎,正是因为其使用便捷。 然而,便利性与安全性往往难以兼得,而 Edge 的这一漏洞正生动展现了这种取舍在现实中的具体体现。
Keeper Forcefield 如何防范浏览器密码遭窃
这正是 Keeper Forcefield 专门设计用于阻止的攻击类型。
在 Windows 系统中,同一用户账户下运行的应用程序默认可相互访问内存,而这正是 EdgeSavedPasswordsDumper 利用的机制。 Keeper Forcefield 通过在内核层部署轻量级驱动程序来应对这一问题,对受保护应用的内存访问进行持续监控和严格限制。 当不受信任的进程试图读取受保护应用的内存时,驱动程序会立即予以拦截。 受信任的系统进程仍可正常运行,只有未经授权的访问行为会被阻断。
这一防护机制的具体体现,正是上方代码截图中高亮显示的 OpenProcess 调用环节。 这是转储工具尝试附加至 Edge 父进程并读取其内存的关键步骤。 在启用 Keeper Forcefield 的设备上,该调用会直接失败。 内核驱动会在任何内存被读取之前拦截访问请求,从根源上阻断攻击所依赖的关键步骤。
Keeper Forcefield 不仅保护 Keeper 自身应用程序,也覆盖主流浏览器,包括 Chrome、Firefox、Edge、Brave、Opera 和 Vivaldi,因此无论组织使用哪一款浏览器,都能获得一致防护。 该功能在后台静默运行,不影响系统或应用性能,可通过 Keeper Desktop 应用直接启用,或借助 Intune、组策略及 RMM 工具在各终端进行无感部署。
如何防范 Microsoft Edge 密码漏洞风险
若组织使用 Edge 内置密码管理器,则任何开启 Edge 的设备,其内存中都可能以明文形式驻留用户凭证。 在被入侵或多人共享的设备上,这将成为一条极易被利用的攻击路径。
实际可行的解决方案,是将密码从浏览器中迁移至独立运行的专用密码管理器(如 Keeper),使其不再依赖浏览器进程。 如果凭证从未进入浏览器内存,自然也就无从被提取。 在此基础上启用 Keeper Forcefield,可在浏览器层面叠加内核级防护机制,阻止未经授权的进程读取应用程序内存,即使设备已存在恶意软件亦可提供额外防护。
基本要点
组织无法等待一个可能不会到来的厂商补丁。 若团队正在使用 Edge 内置密码管理器,则当前风险已实际存在。 将凭证迁移至专用密码管理器,并部署 Keeper Forcefield,以确保即便设备被攻陷,浏览器内存中也不会留下可被提取的数据。
如需了解 Keeper Forcefield 如何保护组织终端设备,可立即开启 Keeper 免费试用。
