Microsoft Edge đang là tâm điểm của một cảnh báo bảo mật liên quan đến cách trình duyệt xử lý mật khẩu đã lưu trong bộ nhớ tiến trình. Theo phát hiện được công bố ngày 29/04, Edge giải mã toàn bộ mật khẩu lưu trữ sang cleartext ngay khi trình duyệt khởi chạy và giữ chúng trong bộ nhớ cho đến khi phiên làm việc kết thúc.
Cảnh báo bảo mật về cách Edge xử lý mật khẩu trong bộ nhớ
Phát hiện này cho thấy lỗ hổng bảo mật không nằm ở việc truy cập giao diện quản lý mật khẩu, mà ở lớp process memory. Điều đáng chú ý là Edge vẫn yêu cầu xác thực lại trước khi hiển thị mật khẩu trong Password Manager, nhưng dữ liệu thực tế đã tồn tại ở dạng rõ trong bộ nhớ tiến trình.
Điều đó tạo ra một bề mặt trích xuất rộng cho bất kỳ tác nhân nào có thể đọc bộ nhớ tiến trình của trình duyệt. Trong bối cảnh an ninh mạng, đây là rủi ro rõ ràng với các hệ thống dùng chung hoặc nhiều người dùng.
So sánh với Google Chrome
Trong khi Edge giữ toàn bộ vault mật khẩu ở dạng plaintext trong bộ nhớ, Chrome áp dụng cơ chế on-demand decryption. Nghĩa là credential chỉ được giải mã tại thời điểm cần dùng, chẳng hạn khi autofill hoặc khi người dùng xem mật khẩu đã lưu.
Chrome còn triển khai App-Bound Encryption, ràng buộc khóa giải mã với tiến trình Chrome đã xác thực. Cơ chế này ngăn tiến trình khác tái sử dụng khóa để truy cập credential.
Edge hiện không có các biện pháp bảo vệ tương đương trong bối cảnh mô tả này. Kết quả là toàn bộ mật khẩu đã lưu đều có thể xuất hiện dưới dạng rõ ngay từ lúc trình duyệt mở.
Cách thức rủi ro bảo mật có thể bị khai thác
Vấn đề trở nên nghiêm trọng hơn trên các môi trường Remote Desktop Services (RDS), terminal server, VDI hoặc hệ thống chia sẻ phiên làm việc. Nếu một kẻ tấn công giành được quyền quản trị cục bộ, họ có thể đọc bộ nhớ của tiến trình trình duyệt từ nhiều người dùng đã đăng nhập cùng lúc.
Điều này biến một lần xâm nhập ở mức admin thành một đợt đánh cắp dữ liệu thông tin xác thực trên diện rộng. Về mặt kỹ thuật, hành vi này khớp với MITRE ATT&CK T1555.003 — Credentials from Web Browsers.
Proof-of-Concept đã được công bố
Trong một video minh họa PoC đi kèm công bố, tài khoản quản trị bị xâm nhập đã được dùng để trích xuất thành công mật khẩu đã lưu từ hai người dùng khác đang đăng nhập, bao gồm cả các phiên đã ngắt kết nối nhưng vẫn còn hoạt động. Kỹ thuật được sử dụng là đọc trực tiếp bộ nhớ tiến trình của Edge.
Kho mã PoC được cung cấp tại GitHub để kiểm chứng hành vi này: EdgeSavedPasswordsDumper.
Hành vi UI và rủi ro kiểm soát truy cập
Edge vẫn hiển thị lớp xác thực lại trước khi mở mật khẩu trong giao diện quản lý. Tuy nhiên, lớp này chỉ là kiểm soát ở mức giao diện, không ngăn được việc trích xuất từ bộ nhớ tiến trình.
Nói cách khác, cơ chế re-authentication không bảo vệ được credential nếu kẻ tấn công đã có khả năng đọc memory. Đây là điểm khác biệt quan trọng giữa kiểm soát hiển thị và kiểm soát dữ liệu trong bộ nhớ.
Hướng dẫn kiểm tra bằng công cụ xác minh
Bản công bố ngày 29/04 có kèm một công cụ nhỏ nhằm kiểm tra xem Edge có đang giữ credential ở dạng cleartext trong bộ nhớ hay không. Công cụ này được dùng cho mục đích xác minh độc lập và nâng cao nhận thức về lỗ hổng CVE-like behavior trong cách thiết kế quản lý mật khẩu, dù nội dung gốc không nêu mã CVE cụ thể.
Với người vận hành hệ thống Windows có triển khai Edge, có thể tham khảo thêm tài liệu chính thức của Microsoft về bảo mật Password Manager tại: Microsoft Edge Password Manager Security.
Ảnh hưởng hệ thống cần lưu ý
- Máy trạm đơn lẻ: kẻ tấn công có quyền đọc memory cục bộ có thể trích xuất mật khẩu đã lưu.
- Terminal Server / RDS: quản trị viên hoặc tiến trình độc hại ở mức admin có thể đọc bộ nhớ của nhiều phiên người dùng.
- VDI / môi trường dùng chung: nguy cơ rò rỉ dữ liệu nhạy cảm tăng cao do nhiều tài khoản cùng tồn tại trên một hạ tầng.
Khuyến nghị kỹ thuật cho môi trường Windows
Trong các hệ thống đang triển khai Edge trên terminal server, VDI hoặc môi trường chia sẻ, cần xem đây là một rủi ro an toàn thông tin ưu tiên cao. Biện pháp thực tế được nêu trong công bố là cân nhắc chuyển sang trình duyệt có cơ chế on-demand decryption và App-Bound Encryption cho đến khi Microsoft thay đổi quyết định thiết kế.
Điểm mấu chốt của tin bảo mật mới nhất này là credential không chỉ được bảo vệ ở lúc hiển thị, mà phải được bảo vệ xuyên suốt vòng đời lưu trữ và trong bộ nhớ tiến trình. Nếu không, một lần xâm nhập quyền quản trị có thể dẫn đến phát hiện xâm nhập muộn sau khi dữ liệu đã bị trích xuất.
Tóm tắt rủi ro kỹ thuật
Edge lưu toàn bộ mật khẩu đã lưu trong plaintext ngay khi khởi chạy. Chrome thì giải mã theo nhu cầu và bổ sung App-Bound Encryption để hạn chế tái sử dụng khóa.
Trong môi trường dùng chung, hành vi này làm tăng đáng kể nguy cơ bảo mật liên quan đến trích xuất credential từ bộ nhớ tiến trình. Điều đó đặc biệt đáng chú ý trong các kịch bản phát hiện tấn công hoặc kiểm tra IDS ở lớp endpoint, nơi truy cập bộ nhớ bất thường có thể là chỉ dấu cần điều tra.
