Trình duyệt Edge của Microsoft đang thu hút sự chú ý của cộng đồng công nghệ khi một nhà nghiên cứu bảo mật chỉ ra rằng phần mềm này lưu trữ mật khẩu dưới dạng văn bản không mã hóa trong bộ nhớ RAM ngay khi khởi động. Điều này đã tạo ra lo ngại về khả năng bị tấn công từ phần mềm độc hại, khiến thông tin đăng nhập của người dùng dễ dàng bị đánh cắp.
Nhà nghiên cứu Tom Jøran Sønstebyseter Rønning đã công bố một video cho thấy cách thức mà một công cụ đơn giản có thể được sử dụng để trích xuất mật khẩu đã lưu trong Edge thông qua dòng lệnh với quyền quản trị. Ông chỉ ra rằng khi người dùng lưu mật khẩu, trình duyệt sẽ giải mã toàn bộ thông tin xác thực ngay từ khi khởi động và giữ chúng trong bộ nhớ, ngay cả khi không có trang web nào đang được truy cập.
Ông Rønning nhấn mạnh rằng Edge là trình duyệt duy nhất trong số các sản phẩm mà ông thử nghiệm hoạt động theo cách này. Tuy nhiên, Microsoft đã phản bác lại những lo ngại này, cho rằng mối đe dọa chỉ xảy ra khi kẻ tấn công đã có quyền kiểm soát máy tính của người dùng, thường thông qua phần mềm độc hại. Công ty khẳng định rằng việc truy cập vào dữ liệu trình duyệt như mô tả trong báo cáo yêu cầu thiết bị đã bị xâm nhập trước đó.
Ông Rønning cũng đặt câu hỏi về lý do tại sao Microsoft không áp dụng phương pháp của một trình duyệt khác, vốn chỉ giải mã thông tin đăng nhập khi cần thiết, thay vì giữ toàn bộ mật khẩu trong bộ nhớ. Theo ông, trình duyệt đó chỉ giải mã thông tin cần thiết cho chức năng tự động điền và ngay lập tức xóa khỏi bộ nhớ sau khi sử dụng.
Việc trích xuất mật khẩu của người dùng cũng có thể xảy ra nếu kẻ tấn công có quyền truy cập vào một máy chủ Windows. Trong video, ông Rønning đã chỉ ra rằng kẻ tấn công có thể xâm nhập tài khoản người dùng với quyền quản trị để xem thông tin đăng nhập đã lưu của những người dùng khác. Cách thức này cũng có thể thực hiện thông qua Task Manager bằng cách chọn tiến trình Edge và tạo file memory dump, sau đó mở file này để tìm kiếm thông tin đăng nhập.
Vì mật khẩu được lưu dưới dạng văn bản không mã hóa, chúng dễ dàng bị lộ cho các bên khác.
Microsoft cho biết cách tiếp cận hiện tại trong việc tải mật khẩu đã lưu vào Edge nhằm cải thiện trải nghiệm người dùng. Công ty giải thích rằng các lựa chọn thiết kế trong lĩnh vực này liên quan đến việc cân bằng giữa hiệu suất, khả năng sử dụng và bảo mật, đồng thời khẳng định sẽ tiếp tục xem xét vấn đề này trước các mối đe dọa đang phát triển. Theo Microsoft, trình duyệt truy cập dữ liệu mật khẩu trong bộ nhớ để giúp người dùng đăng nhập nhanh chóng và an toàn, đây là một tính năng dự kiến của ứng dụng.
Tuy nhiên, phần khuyến nghị cuối cùng của Microsoft đã gây lo ngại khi công ty đề xuất người dùng cài đặt các bản cập nhật bảo mật mới nhất và phần mềm diệt virus để bảo vệ chống lại các mối đe dọa bảo mật. Điều này gợi ý rằng bảo mật tích hợp sẵn của hệ điều hành không đủ để bảo vệ người dùng, mặc dù chính Microsoft từng khuyến nghị phần mềm diệt virus tích hợp trong hệ điều hành mới nhất đã đủ bảo vệ cho hầu hết người dùng.
Nhà nghiên cứu Rob VandenBrink cũng đã tái hiện vấn đề này bằng cách tạo bản ghi bộ nhớ trong trình duyệt Edge đang chạy và đã thu thập được nhiều thông tin đăng nhập lưu trong đó.
Vấn đề này đã dấy lên cuộc tranh luận trong cộng đồng công nghệ. Một số người cho rằng mối nguy hiểm đã bị thổi phồng vì yếu tố tấn công yêu cầu quyền truy cập quản trị vào máy tính hoặc máy chủ, điều này sẽ khiến nạn nhân phải đối mặt với nhiều loại tấn công khác nhau, bao gồm cả việc đánh cắp mật khẩu từ các chương trình khác. Trong khi đó, một số khác lại đặt câu hỏi tại sao Microsoft không đơn giản triển khai các biện pháp bảo mật mạnh mẽ hơn cho việc lưu trữ mật khẩu.
Dịch vụ thư viện phần mềm độc hại Vx Underground đã chỉ ra rằng một phần mềm độc hại có thể lợi dụng tiến trình trong bộ nhớ của Edge để trích xuất mật khẩu người dùng trên máy tính cá nhân. Tuy nhiên, việc áp dụng phương pháp này trong môi trường doanh nghiệp sẽ khó khăn hơn vì nó yêu cầu quyền truy cập quản trị và một số token truy cập bảo mật có thể ngay lập tức gây ra cảnh báo.
Nhà nghiên cứu Rob VandenBrink cũng đã xác nhận các phát hiện này bằng cách vào Task Manager và sử dụng chức năng tạo memory dump trong khi trình duyệt Edge đang mở. File memory dump thu được có chứa các mật khẩu đã lưu, nhưng một lần nữa, quy trình này yêu cầu quyền truy cập cục bộ vào máy tính.
