وأوضح الباحث في منشوره أن متصفح Edge يقوم بتحميل بيانات اعتماد المستخدمين المخزنة في ذاكرة النظام بشكل نصي عند بدء التشغيل، حتى عندما لا تكون هذه البيانات قيد الاستخدام النشط. كما يستمر المتصفح في طلب تسجيل الدخول مجددًا بينما يحمل كلمات المرور مخزنة دون حماية في ذاكرة الوصول العشوائي (RAM).
ولشرح هذا السلوك، نشر الباحث أداة على منصة GitHub بعنوان «EdgeSavedPasswordsDumper». وتُوصف الأداة بأنها أداة تعليمية مصممة لمساعدة المتخصصين في الأمن السيبراني والمستخدمين على التحقق من كيفية إدارة بيانات الاعتماد المخزنة داخل بيئة المتصفح. تعمل الأداة من خلال الوصول إلى ذاكرة العمليات الخاصة بالمتصفح، حيث قد تُخزن أسماء المستخدمين وكلمات المرور بشكل قابل للقراءة.
وأشار الباحث إلى أن عملية Edge الرئيسية تحتفظ باستمرار ببيانات الاعتماد المشفرة، مما يجعلها هدفًا محتملاً للاستخراج في حال تمكن المهاجم من الحصول على امتيازات نظام كافية. وقد تتأثر المؤسسات التي تعمل بأنظمة مشتركة أو متعددة المستخدمين بشكل خاص، حيث يمكن لحساب مخترق بامتيازات إدارية الوصول إلى بيانات من جلسات متعددة نشطة.
على الرغم من أن هذه التقنية لا تمثل ثغرة عن بُعد بحد ذاتها، إلا أنها قد تصبح ذات صلة في سيناريوهات يتمكن فيها المهاجم بالفعل من الوصول إلى نظام بامتيازات مرتفعة. وفي مثل هذه الحالات، يمكن لتقنيات استخراج الذاكرة، مثل استخدام أدوات إدارية شائعة، أن تعرض معلومات تسجيل الدخول المخزنة للخطر.
أداة EdgeSavedPasswordsDumper وكيفية عملها
تستخدم الأداة «EdgeSavedPasswordsDumper» تقنية الوصول إلى ذاكرة العمليات الخاصة بمتصفح Edge، حيث تُخزن أسماء المستخدمين وكلمات المرور بشكل قابل للقراءة. وتوضح هذه الأداة كيف يمكن للمهاجمين المحتملين استخراج هذه البيانات إذا تمكنوا من الوصول إلى النظام بامتيازات كافية.
وأكد الباحث أن هذه المشكلة محددة لمتصفح Edge بين متصفحات Chromium، حيث لم تُظهر بدائل مثل Google Chrome وBrave نفس السلوك خلال الاختبارات. إذ تقوم هذه المتصفحات عادةً بفك تشفير بيانات الاعتماد فقط عند الحاجة، بدلاً من تخزينها بشكل دائم في الذاكرة.
رد Microsoft على المشكلة
وبشكل غريب، قامت Microsoft بتصنيف هذا السلوك على أنه «مقصود» عندما حاول الباحث إبلاغ الشركة بالمشكلة. ولم تصدر الشركة أي ردود أخرى بخصوص هذا الأمر.
