Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Microsoft Edge legt Passwörter als Klartext im Arbeitsspeicher ab – Microsoft sieht kein Problem

DrWindows

DrWindows

Redaktion
Microsoft Edge legt Passwörter als Klartext im Arbeitsspeicher ab – Microsoft sieht kein Problem
von Martin Geuß
Microsoft Edge


Microsoft Edge legt Passwörter, die im Passwort-Manager des Browsers gespeichert sind, als Klartext im Arbeitsspeicher ab. Das passiert sogar dann, wenn man die zugehörige Webseite gar nicht besucht. Microsoft sieht hierin allerdings kein Sicherheitsproblem.

Entdeckt hat das Verhalten der norwegische Sicherheitsexperte Tom Jøran Sønstebyseter Rønning (via itavisen.no). Demnach legt Microsoft Edge alle(!) gespeicherten Passwörter bereits beim Start des Browsers als Klartext im Arbeitsspeicher ab. Generiert man mit dem Windows Task Manager eine Speicherabbilddatei, enthält diese alle Passwörter im lesbaren Format. Die Redaktion von heise hat das erfolgreich nachgestellt.

Die Tatsache, dass man sich in Microsoft Edge via Windows Hello authentifizieren muss, um auf die im Kennwortmanager gespeicherten Passwörter zuzugreifen, wirkt somit wie eine rein kosmetische Maßnahme.

Rønning zeigt in seinem auf X veröffentlichten Video sogar, wie Administratoren an einem Terminal-Server auf diese Weise die Passwörter von anderen Nutzern auslesen können.

Chrome macht es anders​


Die Vermutung liegt zunächst nahe, dass dies ein Problem sein könnte, welches alle Chromium-basierten Browser betrifft. Das hat Rønning ebenfalls getestet und festgestellt, dass Microsoft Edge dieses „Feature“ exklusiv für sich hat. Google Chrome entschlüsselt Passwörter lediglich dann, wenn sie wirklich gebraucht werden, und nutzt dabei App-Bound Encryption (ABE). Diese bindet die Entschlüsselung an einen authentifizierten Chrome-Prozess und verhindert, dass andere Prozesse die Verschlüsselungsschlüssel erneut verwenden können.

Microsoft sagt: Das muss so​


Nachdem Rønning die Schwachstelle an Microsoft gemeldet hatte, erhielt er von dort eine überraschende Antwort. Das sei kein Fehler, sondern eine bewusste Design-Entscheidung. Die Anerkennung als Sicherheitslücke mit entsprechender Prämie über das Bug Bounty Programm blieb dem Entdecker somit verwehrt. Änderungen sind laut Microsoft nicht vorgesehen.

Wetten, dass sich das rasch ändert, wenn dieses Thema jetzt durch die Medien geht?

Der Beitrag Microsoft Edge legt Passwörter als Klartext im Arbeitsspeicher ab – Microsoft sieht kein Problem erschien zuerst auf Dr. Windows.


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige
1777969313527.png



:ROFLMAO::ROFLMAO::ROFLMAO::ROFLMAO::ROFLMAO:

www.giga.de

„It's not a bug, it's a feature“: Die 5 berüchtigsten Computerfehler der Geschichte

Ein Fehler in der Software ist in den meisten Fällen ärgerlich. Ein Bug aufgrund von wenigen fehlerhaften Codezeilen kann zu katastrophalen...
www.giga.de www.giga.de
Der Spruch „it's not a bug, it's an undocumented feature“, zu Deutsch „es ist kein Fehler, es ist eine undokumentierte Funktion“, wird vielen berühmten IT-Persönlichkeiten in den Mund gelegt. So soll unter anderem Bill Gates, Linus Tovalds oder Steve Jobs den Spruch erfunden haben
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
DrWindows schrieb:
Nachdem Rønning die Schwachstelle an Microsoft gemeldet hatte, erhielt er von dort eine überraschende Antwort. Das sei kein Fehler, sondern eine bewusste Design-Entscheidung. Die Anerkennung als Sicherheitslücke mit entsprechender Prämie über das Bug Bounty Programm blieb dem Entdecker somit verwehrt. Änderungen sind laut Microsoft nicht vorgesehen.
Zum Vergrößern anklicken....


Die Freundschaft mit OpenAI ist halt teuer, da muß M$ an allen Ecken und Enden sparen
 
Der Edge-Passwortmanager ist aber auch ohne diese neue Erkenntnis bereits unsicher by Design, jedenfalls dann wenn man die Passwörter synchronisiert.
Praktisch alle anderen, vor allem Apple, aber auch optional Google (die reinen Passwortmanager sowieso) synchronisieren Passwörter in einem Zero-Knowledge-Ansatz.
Die Passwörter werden verschlüsselt auf dem Server gespeichert, aber der Key dafür liegt nicht auf dem Server sondern ist eine vom Nutzer festgelegte Passphrase (Google, andere Passwortmanager) oder wird direkt von den bereits angemeldeten Geräten übermittelt (Apple).
Dadurch kann ein potenzieller Hacker, der sich Zugang auf die Server verschafft, nicht an die nötigen Informationen kommen, um die Passwörter zu entschlüsseln.

Bei Microsoft leider schon. Die Passwörter liegen zwar verschlüsselt auf dem Server, aber die Schlüsselverwaltung dafür findet ebenfalls serverseitig statt. Ein neu angemeldeter und synchronisierter Windows-PC bekommt diese nach erfolgreicher Anmeldung vom Server übertragen und kann dann die Passwörter entschlüsseln.
Die Sicherheit davon steht und fällt dann mit der Konto-Sicherheit. Bedeutet aber auch, dass jemand, der sich illegal Zugang verschafft, oder mit behördlicher Anordnung, sich die Keys von dort verschaffen kann.

Da kommt es imho auch nicht mehr darauf an, wie realistisch das Szenario ist (weil die Server vermutlich stark gesichert sind, und weil sich vermutlich auch niemand dort für unsere Passwörter interessiert).
Sondern eher darauf, dass man diesen Angriffsvektor mit einfachen Mitteln von vornherein komplett ausschließen könnte, so wie es die anderen alle tun.
Für mich bedeutet das, dass ich dann halt lieber einen anderen Passwortmanager nutze. So super ist der von Edge halt auch nicht, dass man darüber hinwegsehen könnte.
 
Wenn Passwörter im Klartext im RAM landen, ist das natürlich keine Schwachstelle, sondern eine bewusste Design-Entscheidung. Sicherheit ist halt auch nur eine Perspektive. Wahrscheinlich nennt man das intern dann "Performance-Optimierung".
Man fragt sich wirklich, was dort konsumiert wird … und ob das stärker verschlüsselt ist als die Passwörter.
 
Eine Schwachstelle im klassischen Sinn ist das wirklich nicht. Daher verstehe ich ja, dass Microsoft hierfür nichts zahlen möchte.

Es war eine bewusste Design Entscheidung.

Bei einer solchen Antwort verliert man doch das letzte Vertrauen in diesen Laden.
 
Das Problem haben alle Passwort-Speicher, die nicht mit einem User Kennwort (oder fragwürdigem Hardware DRM) verschlüsselt sind.

Das betrifft vor allem den Speicher auf der Disk. Manchmal ist der Pseudo-verschlüsselt, hilft am Ende aber auch nicht.
Chrome hat da in jüngerer Vergangenheit etwas umgestellt, wurde aber auch schnell "geknackt".

Speicher, der an irgendeinen Hardwarekey gebunden ist, ist auch blöd, weil kein Backup möglich ist.


Alle Passwörter immer unverschlüsselt in den RAM zu laden ist trotzdem eine sehr seltsame, dumme Entscheidung.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben