Edge-Sicherheitslücke: Microsoft bleibt bei "by design" - Forscher bleiben bei "gefährlich"
Microsoft Edge speichert Passwörter im Klartext im RAM - das ist laut Microsoft kein Bug, sondern gewollt
Ein Angreifer mit Adminzugang kann über einen simplen Speicher-Dump alle gespeicherten Passwörter auslesen - inklusive Umgehung von 2FA
Forscher bestätigen: Edge ist der einzige Chromium-Browser, der sich so verhält
Microsoft empfiehlt Antivirensoftware als Gegenmaßnahme - was bei diesem Problem schlicht nicht greift
Was steckt dahinter?
Der Sicherheitsforscher Tom Jøran Sønstebyseter Rønning machte diese Woche öffentlich, dass Edge Passwörter unverschlüsselt im Arbeitsspeicher hält. Das klingt erstmal nach einem handwerklichen Fehler - ist aber laut Microsoft explizit so gewollt. Auf Nachfrage von PC Gamer hieß es: "Zugang zu Browserdaten, wie im gemeldeten Szenario beschrieben, setzt voraus, dass das Gerät bereits kompromittiert ist."
Das stimmt technisch gesehen. Adminrechte braucht man, um an den Speicher zu kommen. Aber: Viele Windows-Nutzer arbeiten standardmäßig mit einem Administrator-Konto, ohne das überhaupt zu merken oder bewusst so eingerichtet zu haben.
Und hier wird es praktisch: Wie das Internet Storm Center dokumentiert, reicht es, über den Task-Manager einen Speicher-Dump des Browsers zu erstellen und den mit einfachen String-Suchen zu durchforsten. Keine tiefen Hacker-Kenntnisse nötig, keine Minuten, sondern Sekunden.
Warum das in der Praxis ein Problem ist
Stell dir vor, du lässt deinen Rechner kurz in einem Café oder Büro unbeaufsichtigt - angemeldet, Edge läuft. Jemand mit ein bisschen Know-how und kurz Zugang zur Tastatur kann in diesem Moment alle in Edge gespeicherten Passwörter abgreifen. Kein Exploit, kein Malware-Einsatz nötig.
Noch kritischer: In Umgebungen mit mehreren Nutzern auf einem System - Terminal-Server, Schulrechner, geteilte Büro-PCs - kann ein Angreifer mit Adminrechten laut International Cyber Digest den Speicher aller eingeloggten Nutzer-Prozesse auf einmal auslesen. Das ist kein theoretisches Szenario.
Microsofts Antwort auf diese Kritik: aktuelle Sicherheitsupdates einspielen und Antivirensoftware nutzen. Beides schützt konkret vor diesem Angriffsmuster nicht. Rønning bestätigt zudem, dass er keinen anderen Chromium-basierten Browser getestet hat, der sich so verhält - Edge steht hier allein.
Solange Microsoft die Einstellung nicht ändert, hilft nur: Bildschirm sperren, bevor du den Platz verlässt. Und wer sich generell Gedanken um Sicherheit und Datenschutz im Netz macht, findet in unserem Artikel über Discords Datenschutz-Probleme weiteren Lesestoff dazu.
Quelle(n)
Das ist ja mal wieder klassisch Microsoft. Passwörter im Klartext zu lagern und das dann als "sicher genug" zu verkaufen, weil der Speicher ja theoretisch geschützt ist. Das funktioniert in der Praxis aber nur, wenn man nicht gerade von Malware kompromittiert wurde oder jemand physischen Zugriff auf den Rechner hat.
Ich verstehe die Argumentation, dass der RAM während der Laufzeit schwer zu dumpen ist, aber das ist eben kein Grund, um nachlässig zu werden. Chrome und Firefox machen das seit Jahren anders und verschlüsseln solche sensiblen Daten ordentlich.
Das ist wirklich fragwürdig von Microsoft. Wenn Firefox und Chrome längst demonstrieren, dass Passwörter auch im RAM verschlüsselt gelagert werden können, dann ist "der Speicher ist ja geschützt" einfach keine akzeptable Begründung für Klartext-Speicherung.
Für mich bleibt Edge damit ein interessantes Engineering-Projekt mit guter Performance-Bilanz, aber bei der Passwortverwaltung würde ich trotzdem zu einem der etablierten Alternativen greifen.
Das ist wirklich fragwürdig von Microsoft. Wenn Firefox und Chrome längst demonstrieren, dass Passwörter auch im RAM verschlüsselt gelagert werden können, dann ist "der Speicher ist ja geschützt" einfach keine akzeptable Begründung für Klartext-Speicherung.
Für mich bleibt Edge damit ein interessantes Engineering-Projekt mit guter Performance-Bilanz, aber bei der Passwortverwaltung würde ich trotzdem zu einem der etablierten Alternativen greifen.
Das Microsoft bei so einer Grundsache wie Passwortverschlüsselung sagt "ist sicher genug", während Chrome und Firefox das längst richtig machen, macht mir die Entscheidung einfach zu leicht, bei Firefox zu bleiben.
Performance und Convenience werden höher gewichtet als Best Practices bei sensiblen Daten. Wenn Firefox und Chrome seit Jahren zeigen, dass Verschlüsselung im RAM machbar ist, dann ist "der Speicher ist geschützt genug" schlicht ein Design-Kompromiss, den Microsoft nicht machen sollte, und zwar unabhängig davon, wie schnell Edge sonst läuft.