Microsoftは、Edgeウェブブラウザを更新して、スタートアップ時に保存されたパスワードがプロセスメモリにクリアテキストで読み込まれないようにしています。
この動作は5月4日にセキュリティ研究者Tom Jøran Sønstebyseter Rønningによって公開されました。彼は、実証したように、Edgeの組み込みパスワードマネージャーに保存されているすべての認証情報が起動時に復号化され、使用されていない場合でもメモリに保持されています。
Rønningは、概念実証(PoC)ツールもリリースしました。これにより、管理者権限を持つ攻撃者が他のユーザーのEdgeプロセスからパスワードをダンプすることが可能になります(管理者権限がない場合、PoCは同じユーザーによって起動されたEdgeプロセスへのアクセスのみを許可します)。
広告主のウェブサイトにアクセスページに移動
彼はまた、この問題をMicrosoftに報告し、公開開示する前に、その動作は「仕様通り」だと言われたと述べています。
「Edgeは、このように動作するテストした唯一のChromiumベースのブラウザです。それとは対照的に、Chromeは攻撃者がプロセスメモリを読むだけで保存されたパスワードを抽出するのをはるかに難しくする設計を使用しています。」と、研究者は述べた。
Microsoftは当初この問題に対処することを拒否し、その時点でBleepingComputerに「これはアプリケーションの予想される機能です」と述べていましたが、水曜日に、将来のEdgeバージョンはスタートアップ時にメモリに保存されたパスワードを読み込まなくなると発表しました。ただし、報告されたシナリオは既存の予想される脅威モデル内に含まれています(敵対者がすでにデバイスの管理制御を持っている攻撃は除外されます)。
「この深層防御の変更は、Edgeのすべてのサポートされているバージョン(Stable、Beta、Dev、Canary、およびエンタープライズ顧客が実行する拡張Stableチャネル)に適用されます。ローリングアウトを優先しています。」と、Microsoft Edge Security LeadのGareth Evansは述べた。
「Secure Future Initiativeへの取り組みと顧客フィードバックにより、より広い視点を取っています。これは、何かがセキュリティ問題の基準を満たしているかどうかを見るだけでなく、深層防御の改善を通じて露出を減らすことができる場所を見ることを意味します。この場合、メモリ内のパスワードの露出を減らすことは、その方向への実用的なステップです。」
このフィックスはすでにEdge Canaryチャネルで実装されており、すべてのサポートされているEdgeリリースの次の更新に含まれます(ビルド148以降)。
昨年、Microsoftはウェブブラウザにサイドロードされた悪意のある拡張機能から保護するための新しいEdgeセキュリティ機能も導入し、ハッカーがChakra JavaScriptエンジンのゼロデイ脆弱性を活用してターゲットデバイスにアクセスし始めた後、EdgeのInternet Explorerモードへのアクセスを制限しました。
検証ギャップ:自動ペネトレーションテストは1つの質問に答えます。あなたは6つが必要です。
自動ペネトレーションテストツールは実際の価値を提供しますが、1つの質問に答えるために構築されました:攻撃者はネットワークを移動できますか?それらは、あなたのコントロールが脅威をブロックするかどうか、あなたの検出ルールが発火するかどうか、またはあなたのクラウド設定が保持されるかどうかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つの表面をカバーしています。
