Den norske sikkerhetsforskeren Tom Jøran Sønstebyseter Rønning, har avslørt at Microsoft Edge lagrer alle lagrede passord i klartekst i minnet, selv når du ikke bruker dem!
Paradokset med Edge-passordlagring: brukeren må autentisere seg, men passordet ligger allerede der
Sønstebyseter Rønning er ekspert på såkalt penetrasjonstesting og er en sikkerhetsforsker. For kort tid siden publiserte han et proof of concept som trolig vil skaffe ham internasjonal presse.
For i en video på X avslører han hvordan Edge dekrypterer alle lagrede passord ved oppstart og holder dem liggende i prosessminnet. Dette er uavhengig om brukeren surfer nettsider som bruker dem eller ikke. Han har testet med Edge 147.0.3912.98.
Det som gjør funnet ekstra oppsiktsvekkende er det innebygde paradokset: Edge krever at du autentiserer deg på nytt for å se passordene i passordbehandleren, men selve nettleserprosessen har allerede alle passordene i klartekst i minnet.
Sønstebyseter Rønning forklarer: «Når du lagrer passord i Edge, dekrypterer nettleseren alle legitimasjoner ved oppstart og holder dem lagret i prosessminnet. Dette skjer selv om du aldri besøker en nettside som bruker disse innloggingene. Samtidig krever Edge at du autentiserer deg på nytt før passordene vises i passordbehandleren – likevel har nettleserprosessen allerede alle passordene i klartekst. Edge er den eneste Chromium-baserte nettleseren jeg har testet som oppfører seg slik. Til sammenligning bruker Chrome en design som gjør det langt vanskeligere for angripere å hente ut lagrede passord ved å lese prosessminnet.»
Beskyttelsen i grensesnittet er altså rent kosmetisk sett fra et angrepssynspunkt.
Sikkerhetsforsker Tom Jøran Sønstebyseter Rønning jobber i Statnett
Chrome gjør det annerledes enn Edge
Rønning understreker at Edge er den eneste Chromium-baserte nettleseren han har testet med denne oppførselen.
Chrome dekrypterer kun passord når det faktisk er behov for det, og bruker i tillegg App-Bound Encryption (ABE) som binder dekryptering til en autentisert Chrome-prosess, noe som hindrer andre prosesser fra å gjenbruke krypteringsnøklene.
Resultatet er at klartekstpassord i Chrome kun vises kort under autofyll eller når brukeren selv åpner dem.
Risikoen blir spesielt alvorlig i delte systemer som terminalservere. Videoen Rønning publiserte viser hvordan en angriper med administratortilgang kan lese ut lagrede passord fra andre innloggede brukeres Edge-prosesser – selv brukere som er frakoblet men fortsatt har aktive sesjoner. En RDP-tilkobling og Hyper-V-konsoll brukes i demonstrasjonen for å vise angrepet i praksis.
Det er også bekreftet at angrepet kan gjennomføres via en vanlig minnedump av Edge-prosessen i Oppgavebehandling. Utfordringen er å finne riktig prosess, forklarer han – årsaken er at Microsofts nettleser starter flere prosesser samtidig, men dette løses enkelt uten avansert hacking, men kun ved å aktivere kolonnen «Kommandolinje» i Oppgavebehandling.
Microsoft: «by design»
Rønning rapporterte funnet til Microsoft, og svaret var nedslående: oppførselen er ifølge selskapet «by design» – altså en bevisst designbeslutning, ikke en feil. Ok, merkelig.
Forskeren har likevel varslet Microsoft om at han ville offentliggjøre funnet som en ansvarlig avsløring slik at brukere og organisasjoner kan ta informerte beslutninger om hvordan de håndterer legitimasjon. Han presenterte også funnet på BigBiteOfTech arrangert av Palo Alto Networks Norge 29. april, og planlegger å publisere et enkelt verktøy på GitHub som lar folk selv verifisere at passordene ligger i klartekst i minnet.
Bruker du Edge og har lagret passord i nettleseren, bør du vurdere å flytte til en dedikert passordbehandler som ikke er integrert i nettleseren.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Comments (0)
No comments yet. Be the first to comment!