اقدام امنیتی جدید مایکروسافت؛ پسوردهای ذخیره‌شده در Edge دیگر در حافظه بارگذاری نمی‌شوند

مایکروسافت اعلام کرده است که در نسخه‌های جدید مرورگر Edge، دیگر پسوردهای ذخیره‌شده در Edge هنگام راه‌اندازی مرورگر در حافظه پردازه به‌صورت متن ساده (Clear Text) بارگذاری نخواهند شد. موضوع پسوردهای ذخیره‌شده در Edge پس از انتشار گزارشی از سوی پژوهشگر امنیت سایبری Tom Jøran Sønstebyseter Rønning مطرح شد که نشان می‌داد مرورگر هنگام اجرا تمام اعتبارنامه‌های ذخیره‌شده را رمزگشایی کرده  و آن‌ها را در حافظه پردازه در دسترس قرار می‌دهد؛ حتی زمانی که کاربر از آن‌ها استفاده نمی‌کند.

شناسایی عملکرد بحث‌برانگیز در پسوردهای ذخیره‌شده در Edge

Rønning در تاریخ 4 می اعلام کرد که هنگام اجرای مرورگر، داده‌های مربوط به پسوردهای ذخیره‌شده در Edge در Password Manager داخلی رمزگشایی شده و در حافظه پردازه قرار می‌گیرند. به گفته او، قرار گرفتن داده‌های حساس در حافظه می‌تواند ریسک حملات در سناریوهای پس از نفوذ را افزایش دهد، زیرا بدافزارها یا ابزارهای مهاجم قادرند با خواندن حافظه پردازه به این اطلاعات دسترسی پیدا کنند.

انتشار ابزار PoC برای استخراج پسوردها

این پژوهشگر سایبری برای نمایش عملی ریسک امنیتی، یک ابزار Proof-of-Concept (PoC) منتشر کرد که نشان می‌دهد چگونه می‌توان با خواندن حافظه پردازه مرورگر به پسوردهای ذخیره‌شده در Edge دسترسی پیدا کرد.

در سناریوی مطرح‌شده:

• مهاجم در صورت داشتن دسترسی مدیریتی (Administrator privileges) قادر است رمزهای کاربران دیگر را از پردازه‌هایEdge استخراج کند.
• بدون دسترسی ادمین، ابزار PoC تنها قادر است داده‌های پردازه‌های Edge مربوط به همان کاربر را بخواند.

به گفته Rønning، او پیش از انتشار عمومی این ضعف را به مایکروسافت گزارش داده بود، اما پاسخ اولیه شرکت این بود که این عملکرد جزو طراحی برنامه (by design) محسوب می‌شود.

تفاوت طراحی Edge با سایر مرورگرهای Chromium

این پژوهشگر تأکید کرد که Edge تنها مرورگر مبتنی بر Chromium است که چنین عملکردی را در مدیریت پسوردهای ذخیره‌شده در Edge نشان می‌دهد. به گفته او، کروم از معماری متفاوتی استفاده می‌کند که باعث می‌شود مهاجمان نتوانند به‌سادگی و تنها با خواندن حافظه پردازه، رمزهای ذخیره‌شده را استخراج کنند.

تغییر رویکرد مایکروسافت و اعمال پچ امنیتی

ابتدا مایکروسافت این عملکرد را «ویژگی مورد انتظار در اپلیکیشن» معرفی کرده بود. با این حال، اکنون این شرکت تأکید کرده است که نسخه‌های جدید Edge دیگر پسوردهای ذخیره‌شده در Edge را هنگام اجرای مرورگر در حافظه پردازه بارگذاری نخواهند کرد. به گفته مایکروسافت، این سناریو در مدل تهدید فعلی شرکت به‌عنوان آسیب‌پذیری محسوب نمی‌شود، زیرا فرض بر این است که مهاجم قبلاً دسترسی  Administrator به دستگاه دارد. با این حال، برای کاهش ریسک، این تغییر در قالب رویکرد Defense‑in‑Depth در تمامی نسخه‌های پشتیبانی‌شده Edge شامل Stable، Beta، Dev، Canary و کانال Extended Stable مورد استفاده مشتریان سازمانی، اعمال خواهد شد.

این اقدام در راستای برنامه Secure Future Initiative و بازخورد کاربران انجام شده و هدف آن کاهش سطح قرارگیری داده‌های حساس در حافظه و افزایش امنیت کاربران است.

زمان انتشار پچ امنیتی برای پسوردهای ذخیره‌شده در Edge

پچ مربوط به مدیریت پسوردهای ذخیره‌شده در Edge هم‌اکنون در کانال Edge Canary فعال شده است و در به‌روزرسانی بعدی برای تمامی نسخه‌های پشتیبانی‌شده منتشر خواهد شد.

طبق اعلام مایکروسافت، این تغییر از بیلد 148 و نسخه‌های جدیدتر در دسترس کاربران قرار خواهد گرفت.

اقدامات امنیتی اخیر در اکوسیستم Edge

سال گذشته، مایکروسافت قابلیت امنیتی جدیدی در مرورگر Edge معرفی کرد تا کاربران در برابر افزونه‌های مخرب نصب‌شده به صورت sideload محافظت شوند. همچنین، دسترسی به حالت Internet Explorer در Edge محدود شد، زیرا هکرها با سوءاستفاده از اکسپلویت‌های روز صفر (zero-day) در موتور Chakra JavaScript توانسته بودند به دستگاه‌های هدف نفوذ کنند.

منابع