Microsoft Edge speichert Passwörter im Klartext im Cache
Schwachstelle „by design“ und wie der Softwarekonzern das zum Enterprise‑Problem macht
Der norwegische Sicherheitsforscher Tom Jøran Sønstebyseter Rønning sorgt in der Security‑Community für Aufsehen: Seinen Tests zufolge entschlüsselt Microsoft Edge beim Start alle im Browser gespeicherten Zugangsdaten und hält sie anschließend im Prozessspeicher (RAM) im Klartext vor – selbst dann, wenn die dazugehörigen Websites in der Session nie besucht werden.
Brisant ist weniger, dass Passwörter beim Autofill irgendwann entschlüsselt im Speicher existieren müssen, sondern Umfang und Dauer: Wenn ein kompletter „Tresor“ zu Beginn in Klartext in den Speicher wandert, wird das RAM‑Auslesen in kompromittierten Umgebungen deutlich attraktiver – gerade im Enterprise‑Kontext.
Worum geht’s?
Rønning demonstrierte die Ausnutzbarkeit anhand eines Proof‑of‑Concept‑Tools, das er nach eigenen Angaben auf der BIG Bite of Tech‑Konferenz von Palo Alto Networks Norway vorgestellt und dazu anschließend Ressourcen veröffentlicht hat.
Die Kernaussage: Hat ein Angreifer ausreichende lokale Rechte (insbesondere Admin‑/System‑Kontext), kann er gezielt den Edge‑Prozessspeicher untersuchen bzw. dumpen und so gespeicherte Credentials im Klartext abgreifen – auch von Nutzern, die Edge zwar geöffnet haben, aber gerade nicht aktiv verwenden.
Microsoft widerspricht der Interpretation „Sicherheitslücke“ nicht unbedingt in den Fakten, aber in der Bewertung: Der Zugriff auf Browserdaten in dem beschriebenen Szenario setze voraus, dass das Gerät bereits kompromittiert ist; Designentscheidungen müssten Performance, Usability und Security ausbalancieren.
Zugleich argumentiert Microsoft, Browser würden Passwortdaten im Arbeitsspeicher vorhalten, um schnelle Anmeldungen zu ermöglichen – das sei eine erwartete Funktion. Als Empfehlung nennt der Konzern aktuelle Sicherheitsupdates und Antivirensoftware.
Warum das in Unternehmen relevant ist
Das Risiko kann in geteilten Windows‑Umgebungen besonders hoch sein: In Terminalserver‑/RDS‑Szenarien, Citrix‑Farmen oder VDI‑Hosts kann ein Angreifer mit administrativem Zugriff potenziell den Speicher von Prozessen anderer eingeloggter Nutzer auslesen – und damit an die im Arbeitsspeicher gespeicherten Passwörter gelangen.
In solchen Umgebungen erhöht sich der „Blast Radius“ dramatisch: Aus einem lokalen Einbruch kann schnell ein breites Credential‑Harvesting werden, das laterale Bewegung, Identitätsmissbrauch und Anschlussangriffe erleichtert.
Zwar verlangt Edge eine erneute Authentifizierung, wenn Nutzer Passwörter im UI anzeigen lassen – doch wenn die Daten ohnehin im Prozessspeicher im Klartext liegen, hilft diese Hürde nur begrenzt – das UI vermittelt eine Schutzstufe, während die Runtime‑Realität eine andere ist.
Craig Lurey, CTO und Mitbegründer von Keeper Security, bestätigt: “Windows 10 und 11 nutzen eine Speicherisolation, damit Prozesse in voneinander getrennten virtuellen Adressräumen ausgeführt werden. Unter bestimmten Bedingungen kann jedoch ein gewöhnlicher Anwendungsprozess weiterhin auf den Speicher eines anderen Prozesses im Benutzermodus zugreifen. Das wirft die Befürchtung auf, dass Malware, die mit normalen Benutzerrechten ausgeführt wird, sensible Informationen wie Passwörter und Authentifizierungs-Tokens direkt aus dem Speicher eines Browsers oder Passwortmanagers auslesen könnte.”
Sicherheitsrisiko Edge
Der Forscher beschreibt Edge als Ausreißer unter den von ihm getesteten Chromium‑Browsern. Während Edge demnach alle Credentials beim Start entschlüsselt und dauerhaft vorhält, entschlüsseln andere Browser Passwörter eher bei Bedarf.
Im Vergleich wird häufig Googles Ansatz mit App‑Bound Encryption (ABE) genannt: Dabei wird die Entschlüsselung an einen authentifizierten Prozess gebunden, was es anderen Prozessen erschweren soll, Schlüssel zu missbrauchen – wodurch breitflächiges Memory‑Scraping „weniger effektiv“ wird.
Ein ähnliches Verhalten soll ein weiterer Forscher bereits 2022 beschriebenhaben.
Das ist für die Einordnung relevant, weil es nahelegt, dass Microsoft die Trade‑offs bewusst in Kauf nimmt – und dass Unternehmen daher nicht automatisch mit einem kurzfristigen „Fix“ rechnen sollten, wenn Microsoft es als Designentscheidung behandelt.
Lurey kommentiert: “Im Laufe der Jahre haben zahlreiche Sicherheitsforscher gezeigt, wie einfach ein Prozess im Benutzermodus den Speicher eines anderen Prozesses unter Windows auslesen kann. Dieses Beispiel verdeutlicht, dass Windows nicht privilegierte Programme nicht daran hindert, den Speicher eines anderen Programms, das im selben Benutzerkontext ausgeführt wird, auszulesen. Die Folge: Sensible Daten, die von Anwendungen im Arbeitsspeicher vorhalten werden, können Ziel lokaler Malware werden.”
“Der Speicherabbild-Angriff auf Passwörter in Microsoft Edge ist ein weiteres Beispiel für eine solches Vorgehensweise”, so Lurey weiter. “Dass Klartext-Passwörter überhaupt im Speicher vorhanden sind, ist dabei nur ein Teil des Problems; die eigentliche Schwachstelle besteht darin, dass andere Prozesse ohne Einschränkungen auf diesen Speicher zugreifen können.“
Tatsächlich verlagert Microsoft Risiko und Verantwortung zu 100 % an die Anwender: „Sicherheit ist ein grundlegender Bestandteil von Microsoft Edge. Ein Zugriff auf Browserdaten, wie er im beschriebenen Szenario dargestellt wird, würde voraussetzen, dass das Gerät bereits kompromittiert ist. Bei den Designentscheidungen in diesem Bereich geht es darum, Leistung, Benutzerfreundlichkeit und Sicherheit in Einklang zu bringen, und wir überprüfen dies kontinuierlich im Hinblick auf sich entwickelnde Bedrohungen. Browser greifen auf Passwortdaten im Arbeitsspeicher zu, um Benutzern eine schnelle und sichere Anmeldung zu ermöglichen – dies ist eine erwartete Funktion der Anwendung. Wir empfehlen Benutzern, die neuesten Sicherheitsupdates und Antivirensoftware zu installieren, um sich vor Sicherheitsbedrohungen zu schützen.“
Was bedeutet das für IT‑Verantwortliche?
Microsofts Kernaussage („Gerät müsste bereits kompromittiert sein“) ist als Threat‑Model‑These nicht falsch: Wenn ein Angreifer Admin‑Level auf dem Endpoint erreicht, ist die Lage ohnehin kritisch.
Für Enterprise‑Security zählt jedoch nicht nur „ob“ kompromittiert, sondern wie schnell und in welcher Breite nach einem initialen Zugriff Credentials abgegriffen werden können – besonders auf Shared Hosts. Genau hier verschiebt eine All‑Passwords‑in‑RAM‑Strategie die Parameter.
Browser‑Passwortspeicher in Unternehmensumgebungen müssen daher als Policy‑Thema behandelt werden. Als unmittelbare Abwehrmaßnahme sollten Group Policies so gesetzt werden, dass Edge keine Passwörter speichern darf – und somit der Browser nicht als Tresor genutzt wird.
Das ist eine klassische Governance‑Entscheidung: Wenn der Browser der Standard ist, muss die Organisation festlegen, ob Credential‑Storage im Browser erlaubt ist – und falls ja, unter welchen Randbedingungen (z. B. keine Shared Hosts/keine Admin‑Sessions).
Hochrisiko-Angriffsflächen priorisieren und Credential‑Management entkoppeln
Gerade VDI, Citrix und Terminalserver können ein Risikomultiplikator sein, weil dort viele Nutzer‑Sessions auf wenigen Systemen zusammenlaufen und Admin‑Kontexte besonders wertvoll sind.
Für IT‑Leads heißt das praktisch: Zuerst dort prüfen, ob Edge‑Password‑Save aktiv ist (oder aktiv sein darf), wo privilegierte Administration stattfindet – etwa auf Jump-Hosts, Bastion‑Systemen oder Shared-Admin-Workstations.
Ein Browser ist kein Tresor. Um die Abhängigkeit vom Browser als Credential‑Store zu reduzieren, sollten stattdessen dedizierte, zentral verwaltete Passwortlösungen verwendet werden. Das ist auch kommunikativ wichtig: Wenn Mitarbeitende den Browser‑Manager wie einen Enterprise‑Password‑Vault behandeln, entstehen gefährliche falsche Sicherheitsannahmen.
Kurz‑Checkliste
- Sofort (Policy/Config): Prüfen, ob das Speichern von Passwörtern in Edge in der Organisation erlaubt ist – und ggf. via Gruppenrichtlinie unterbinden.
- Prioritätssysteme: Shared Desktops, VDI/Citrix/RDS und administrative Arbeitsplätze als erste Kandidaten behandeln.
- Kommunikation: Mitarbeitende darauf hinweisen, dass Browser‑Vaults in kompromittierten Endpoint‑Szenarien ein attraktives Ziel sind – und klare Alternativen benennen (Enterprise‑Password‑Manager, ggf. Passkeys/MFA‑Strategie).
Ob Microsoft seine „by design“-Position ändert, ist aktuell unklar; im Gegenteil verteidigt der Konzern seinen Ansatz. Für Unternehmen bedeutet das: Es bleibt ein Architecture‑ und Governance‑Thema – inklusive Browser‑Standardisierung, Credential‑Policies und Hardening‑Prioritäten in Multi‑User‑Windows‑Umgebungen.