Etter at sikkerhetsforskeren Tom Jøran Sønstebyseter Rønning avslørte at Microsoft Edge lagrer alle lagrede passord i klartekst i RAM, ITavisen omtalte funnet mandag, har Rønning nå publisert et proof of concept (PoC) som gjør det mulig for alle å verifisere funnet selv.
ITavisen tok en prat med ham om hva det betyr, hva Microsofts respons er, og hvorfor han finner selskapets svar om at dette er designet slik med vilje, finurlig
Rønning har publisert «Dump Edge Cleartext Credentials» som bevis for hacken
Rønning har publisert verktøyet «Dump Edge Cleartext Credentials» på GitHub. Hensikten er enkel: gi alle muligheten til å se med egne øyne at passordene faktisk ligger i klartekst i minnet.
– PoC-en («Proof of Concept») er ment å være en enkel måte å bevise påstanden om at passordene er lagret i klartekst, og sette det i en kontekst hvor det blir klart og tydelig at dette er veldig problematisk i et delt miljø med for eksempel terminalservere. Microsoft har valgt å la Edge ha alle passordene i klartekst i minnet, hele tiden, uansett om du trenger dem eller ikke. Jeg mener det er en dårlig idé, sier Rønning til ITavisen.
ITavisen har snakket med sikkerhetsekspert Tom Jøran Sønstebyseter Rønning.
Microsoft: «by design»
Rønning rapporterte funnet til Microsoft, som svarte at oppførselen ikke kvalifiserer som en sikkerhetssårbarhet. I svaret fra selskapet heter det at «scenarioer som forutsetter fulle administrative rettigheter representerer generelt ikke et brudd på en sikkerhetsgrense og anses ikke som sårbarheter som kan utbedres.»
– Jeg tolker dette dithen at de ikke tenker å fikse dette, fordi de ikke ser det som et problem, sier Rønning.
Rønning er kritisk til akkurat den logikken.
– Inntrykket mitt er at Microsoft legger til grunn at dersom en angriper først har oppnådd administratorrettigheter, så er slaget uansett tapt. Det er for så vidt riktig at en angriper med full kontroll over systemet kan gjøre stor skade, men det betyr ikke at man skal gjøre det enkelt for dem.
Han bruker en illustrerende sammenligning: – Denne mentaliteten kan sammenlignes med å la være å låse ytterdøren fordi en innbruddstyv uansett kan knuse et vindu. Selv om ingen sikkerhetsmekanisme er uknuselig, er det fortsatt viktig å legge hindringer i veien og gjøre angrepet så vanskelig som mulig.
Chrome gjør det annerledes
Rønning peker på at det finnes bedre alternativer, til og med innenfor samme produktsegment:
– Chrome benytter Application Based Encryption (ABE), og Defender for Identity i Enterprise-miljøer kan oppdage de angriperhandlingene som kreves for å komme i en posisjon der ABE kan omgås. Det er vanskeligere med tanke på å lese minnet for en prosess. Det fremstår som ulogisk at Microsoft, gitt at Edge bygger på Chromium, ikke implementerer tilsvarende sikkerhetsmekanismer for lagrede passord som det Chrome og andre Chromium-baserte nettlesere gjør, sier han.
Hva bør du bruke i stedet?
ITavisen spurte Rønning om han anbefaler noen spesifikke løsninger for passordlagring. Svaret er nyansert.
– Det er utfordrende å gi gode anbefalinger her. En passordbehandler med sterk kryptering og en ikke-gjettbar passordfrase er utgangspunktet. Utfordringen er om man skal velge en skybasert løsning eller ikke. Det er selvfølgelig praktisk å synkronisere passordene på tvers av alle enheter, men dette øker samtidig angrepsflaten, og det er flere passordbehandlere som er blitt utsatt for kompromitering.
– En enda sikrere løsning vil være å ha en lokal versjon som ikke er skybasert. Men dette har nye utfordringer rundt for eksempel backup av de lokale dataene. Oppsummert vil jeg si at det viktigste er å ikke velge dårlige eller usikre løsninger. I en Enterprise-løsning med delte tjenester som terminalservere bør man unngå å lagre passord i Edge. Det finnes ingen 100 prosent sikker løsning, sier Rønning.
Microsoft har foreløpig ikke endret sin vurdering av funnet, og det er per nå ingen indikasjon på at selskapet planlegger å endre oppførselen i Edge.
Comments (0)
No comments yet. Be the first to comment!