Microsoft-Edge-Passwörter sollen bald besser geschützt werden, nachdem Microsoft eine große Änderung bei der Verarbeitung gespeicherter Anmeldedaten bestätigt hat. Das Unternehmen plant, Edge daran zu hindern, gespeicherte Passwörter beim Start des Browsers im Klartext in den Prozessspeicher zu laden.
Die Entscheidung folgt auf Kritik von Sicherheitsforschern, die davor warnten, dass das bisherige Verhalten eine unnötige Angriffsfläche geschaffen habe. Microsoft bezeichnete das Problem zunächst als „by design“, hat nun jedoch seine Position geändert und wird eine zusätzliche Sicherheitsebene in unterstützten Edge-Versionen einführen.
Forscher Entdeckte Passwörter Im Speicher Beim Start
Der Sicherheitsforscher Tom Jøran Sønstebyseter Rønning veröffentlichte die Entdeckung am 4. Mai. Er erklärte, dass Edge beim Start des Browsers alle gespeicherten Zugangsdaten entschlüsselte und im Speicher behielt, selbst wenn Nutzer die entsprechenden Webseiten nicht besuchten.
Dieses Verhalten unterschied Microsoft Edge von einigen anderen Chromium-basierten Browsern. Laut dem Forscher entschlüsselt Chrome Zugangsdaten nur bei Bedarf, wodurch großflächiges Auslesen des Speichers für Angreifer schwieriger wird.
Rønning veröffentlichte außerdem ein Proof-of-Concept-Tool, das zeigte, wie Angreifer gespeicherte Zugangsdaten aus Edge-Prozessen auslesen könnten. Mit Administratorrechten konnte ein Angreifer die Edge-Prozesse anderer Nutzer angreifen. Ohne Administratorrechte konnte das Tool auf Edge-Prozesse zugreifen, die unter demselben Benutzerkonto liefen.
Warum Das Problem Für Sorge Sorgte
Das Risiko ist relevant, weil sich viele moderne Cyberangriffe auf den Diebstahl von Zugangsdaten konzentrieren. Infostealer-Malware greift nach einer Kompromittierung häufig Browser, Sitzungsdaten und gespeicherte Anmeldedaten an.
Microsoft argumentierte, dass das Szenario bereits ein kompromittiertes System voraussetze. Sicherheitsforscher widersprachen dieser Einschätzung jedoch. Sie betonten, dass Browser die Offenlegung sensibler Daten weiterhin so weit wie möglich reduzieren sollten, insbesondere in Unternehmensumgebungen.
Geteilte Systeme, Remote-Desktops und Unternehmensarbeitsplätze könnten höheren Risiken ausgesetzt sein. Wenn Angreifer starken lokalen Zugriff erhalten, können Passwörter im Klartext im Speicher den Schaden eines einzelnen kompromittierten Systems erheblich vergrößern.
Microsoft Ändert Seine Haltung
Microsoft erklärte zunächst, dass das Verhalten erwartet worden sei und nicht außerhalb des eigenen Bedrohungsmodells liege. Das Unternehmen hat nun bestätigt, dass Edge gespeicherte Passwörter beim Start nicht mehr in den Speicher laden wird.
Gareth Evans, Sicherheitschef von Microsoft Edge, erklärte, dass die Änderung Teil eines umfassenderen Sicherheitsansatzes im Rahmen der Microsoft Secure Future Initiative sei. Anstatt sich ausschließlich auf strenge Definitionen von Schwachstellen zu konzentrieren, wolle Microsoft auch unnötige Angriffsflächen reduzieren.
Die Korrektur ist bereits in Edge Canary verfügbar. Microsoft plant, die Änderung für alle unterstützten Edge-Kanäle bereitzustellen, darunter Stable, Beta, Dev, Canary und Extended Stable für Unternehmen, beginnend mit Build 148 und neuer.
Was Nutzer Jetzt Tun Sollten
Nutzer sollten Microsoft Edge aktuell halten, während die Korrektur in weitere Release-Kanäle ausgerollt wird. Unternehmen sollten außerdem ihre Richtlinien für Browser-Passwörter überprüfen, insbesondere in gemeinsam genutzten oder risikoreichen Umgebungen.
Ein dedizierter Passwort-Manager kann stärkere Schutzmechanismen für Nutzer bieten, die viele sensible Konten verwalten. Multi-Faktor-Authentifizierung bleibt ebenfalls wichtig, da gestohlene Passwörter allein Angreifern keinen vollständigen Zugriff ermöglichen sollten.
Fazit
Das Update für Microsoft-Edge-Passwörter zeigt, wie Sicherheitsdruck zu praktischen Produktänderungen führen kann. Microsoft stuft das ursprüngliche Verhalten möglicherweise nicht als klassische Schwachstelle ein, doch die reduzierte Offenlegung von Passwörtern im Klartext verbessert den Schutz dennoch deutlich.
Die Änderung wird nicht jeden Angriff auf Zugangsdaten verhindern. Sie dürfte Edge jedoch zu einer sichereren Wahl für Nutzer machen, die sich auf den integrierten Passwort-Manager des Browsers verlassen.
0 Kommentare zu „Microsoft-Edge-Passwörter werden nach neuem Update sicherer“