Microsoft Edge memorizzava le password in chiaro nella memoria del processo - una realta' pericolosa e a lungo ignorata dagli utenti del secondo browser desktop piu' diffuso al mondo. Quando un ricercatore di sicurezza ha pubblicato una prova, la risposta iniziale di Microsoft e' stata che questo comportamento era "by design", cioe' voluto. L'azienda ha poi fatto marcia indietro sotto la pressione pubblica, annunciando che Edge 148 cambiera' il modo in cui le credenziali vengono gestite in memoria. L'episodio e' un chiaro promemoria del fatto che il gestore di password integrato nel browser non e' la cassaforte sicura che la maggior parte degli utenti ritiene.
Cosa faceva Edge con le tue password
Il ricercatore di sicurezza Tom Jøran Rønning ha pubblicato una prova di concetto che dimostrava come Microsoft Edge decifri l'intero archivio di password salvate all'avvio e mantenga ogni credenziale in chiaro nella memoria del processo per tutta la durata della sessione di navigazione, indipendentemente dal fatto che si visitino o meno quei siti o si utilizzi la compilazione automatica.
Non e' cosi' che gli altri browser basati su Chromium gestiscono gli stessi dati. Chrome, ad esempio, carica una password in chiaro in memoria solo nel momento in cui l'utente richiede esplicitamente di visualizzarla nel gestore delle password o quando la compilazione automatica viene attivata per quella specifica credenziale. Edge faceva il contrario: decifrava tutto in una volta e lasciava tutto in RAM.
La conseguenza pratica: qualsiasi processo con privilegi di amministratore sul computer - malware, un'applicazione compromessa o un attaccante remoto con accesso elevato - poteva leggere tutte le password salvate analizzando la memoria del processo di Edge. Nessuna necessita' di rompere la cifratura, nessuna necessita' di accedere al disco. Bastava leggere cio' che Edge aveva gia' decodificato.
La difesa "By Design" di Microsoft - e il dietrofront
Quando i risultati di Rønning sono diventati pubblici, la risposta iniziale di Microsoft e' stata che il comportamento di tenere le password in chiaro in memoria era una scelta progettuale deliberata. Il ragionamento dell'azienda: questo approccio velocizza la compilazione automatica e l'accesso, e leggere la memoria di un altro processo richiede comunque un computer compromesso o un accesso elevato - uno scenario che Microsoft considerava fuori dall'ambito della sicurezza a livello di browser.
Quell'argomento non ha retto all'esame pubblico. La logica della "macchina gia' compromessa", a volte chiamata "minimizzazione post-violazione", e' esattamente la ragione per cui esiste la ricerca sulla sicurezza: una volta che gli attaccanti sono sul tuo computer, minimizzare cio' che possono raccogliere e' fondamentale. Lasciare tutte le password salvate decifrate in RAM per l'intera sessione e' l'opposto del contenimento del danno.
Sotto la pressione della comunita' della sicurezza, Microsoft ha rivisto la sua posizione. A partire da Edge 148, il browser non precarichera' piu' tutte le password memorizzate in forma non cifrata. Le credenziali seguiranno invece lo stesso modello di Chrome: caricate in chiaro in memoria solo quando effettivamente necessarie.
Perche' la situazione e' piu' grave di quanto Microsoft abbia ammesso
L'argomento "e' comunque necessario l'accesso amministratore" trascura diversi scenari di attacco reali in cui le password in chiaro nella RAM rappresentano un rischio aggiuntivo significativo:
- Malware di scansione della memoria: I programmi per il furto di credenziali analizzano sistematicamente la memoria dei processi del browser. Il design di Edge rendeva tutto cio' banalmente semplice - nessun lavoro di decifratura richiesto.
- Attacchi tra processi: Certe classi di vulnerabilita' consentono a processi con privilegi inferiori di leggere la memoria di processi con privilegi superiori, aggirando le normali protezioni del sistema operativo.
- Analisi forense della memoria in tempo reale: Le forze dell'ordine e gli attori avversari che eseguono un'analisi della memoria di una macchina in esecuzione potrebbero estrarre tutte le credenziali salvate senza mai toccare il database cifrato sul disco.
- Macchine condivise o gestite: In ambienti aziendali, piu' utenti o amministratori IT possono avere accesso a strumenti di ispezione della memoria che potrebbero esporre le credenziali della sessione di un altro utente.
Anche la portata dell'esposizione e' rilevante. Edge e' uno dei browser piu' utilizzati al mondo, con centinaia di milioni di installazioni in ambienti consumer e aziendali. Il gestore di password e' una funzionalita' centrale, non un caso marginale. Un difetto di progettazione a questo livello riguarda un numero enorme di utenti che si sono fidati del browser per gestire le loro credenziali in modo sicuro.
Cosa dovresti fare adesso
Finche' Edge 148 non arrivera' sul tuo dispositivo, la finestra di esposizione e' attiva. Ecco i passi concreti per ridurre il rischio:
- Verifica la tua versione attuale di Edge su edge://settings/help - se e' inferiore alla 148, il problema e' presente.
- Rimuovi le password sensibili dal gestore integrato di Edge e trasferiscile a un'applicazione di gestione password autonoma. I gestori autonomi cifrano le credenziali a riposo e le decifrano in memoria solo al momento dell'uso.
- Abilita gli aggiornamenti automatici per Edge in modo che la versione 148 venga installata non appena disponibile nel tuo canale.
- Verifica se eventuali account di lavoro o di amministrazione sono memorizzati in Edge su macchine condivise o gestite dall'azienda, dove altri utenti o il personale IT potrebbero avere accesso agli strumenti di ispezione della memoria.
La lezione piu' ampia e' di natura architettonica. I gestori di password integrati nei browser sacrificano un confine di sicurezza significativo in nome della comodita'. Quando un browser mantiene tutte le credenziali decifrate in RAM, la cifratura che protegge quelle password sul disco non offre alcuna protezione contro qualsiasi attaccante o malware che raggiunga il processo in esecuzione. Un gestore di password dedicato, al contrario, opera con uno spazio di memoria separato e un ciclo di vita di decifratura strettamente controllato.
Questo incidente evidenzia anche l'importanza della ricerca indipendente sulla sicurezza. La posizione iniziale "by design" di Microsoft sarebbe rimasta indefinitamente senza un PoC pubblico che costringesse a portare il problema alla luce. La capacita' della comunita' della sicurezza di esaminare, contestare ed esporre il comportamento di software ampiamente diffuso e' un controllo fondamentale sulle decisioni dei fornitori che riguardano centinaia di milioni di utenti.
