Edge держит все пароли в RAM открыто. Microsoft: «by design»

Edge при запуске грузит все сохранённые пароли в RAM в открытом виде на всю сессию. Воспроизводится тремя шагами для своих паролей — без прав администратора. Microsoft называет это «by design» и менять не планирует. Разбираем PoC, отличие от Chrome и что делать пользователю.

Новости Tproger
Обложка: Edge держит все пароли в RAM открыто. Microsoft: «by design»

Microsoft Edge держит все сохранённые пароли в памяти процесса в открытом виде — на всю сессию, прямо со старта. Достаточно запустить браузер, ничего не делать, скинуть дамп памяти, и пароли вытаскиваются обычной утилитой strings. Microsoft квалифицирует поведение как «by design» — не уязвимость, а часть дизайна.

О поведении сообщил норвежский исследователь Tom Jøran Sønstebyseter Rønning (в X — @L1v1ng0ffTh3L4N). Публичное раскрытие — 4 мая 2026 года. Цитата исследователя: «Edge — единственный Chromium-браузер из проверенных мной, который ведёт себя именно так». Уведомление отправлял в Microsoft заранее, ответ — «не уязвимость».

Edge при запуске загружает в память все сохранённые пароли и держит их в открытом виде всю сессию. Не имеет значения, открывал ли ты сайт, к которому относится конкретный пароль. У других браузеров на Chromium такого нет: Chrome расшифровывает пароль только в момент автозаполнения и тут же его выгружает.

Главное
Ключевые выводы
Что нашли, что говорит Microsoft и что делать пользователю
  • Microsoft Edge при старте грузит в память все сохранённые пароли в открытом виде и держит их так до закрытия браузера.
  • Воспроизведение — три шага без прав администратора в рамках своего пользователя: запустить Edge, сделать дамп памяти процесса, прогнать strings.
  • Edge — единственный Chromium-браузер с таким поведением: Chrome расшифровывает пароль только в момент использования и применяет Application-Bound Encryption.
  • Microsoft признаёт поведение и квалифицирует его как «by design» — не уязвимость, а баланс между производительностью и безопасностью.
  • Реальный риск — на терминальных и общих машинах: администратор сервера через дамп памяти получает пароли всех вошедших пользователей.

Как воспроизвести за три минуты

Воспроизводимо на любой Windows-машине без прав администратора в рамках текущего пользователя — для своих паролей в своей сессии. Понадобится утилита strings из Sysinternals или из пакета binutils в Linux/WSL.

  1. Открыть Microsoft Edge и больше ничего не делать — никуда не заходить, ничего не открывать.
  2. Открыть Task Manager (Диспетчер задач), найти процесс Edge, развернуть подпроцессы. На browser-подпроцессе — правый клик → «Create memory dump file».
  3. Открыть полученный файл с расширением .DMP в любом окружении со strings.

Дальше нужно отфильтровать дамп по характерному формату записи (URL + протокол + логин + пароль идут подряд). Команда из разбора Rob VandenBrink в SANS ISC:

			strings -n 8 msedge.DMP | find "comhttps"

В большинстве случаев домен сайта оканчивается на .com, а сразу за ним без разделителя идёт схема https — поэтому фильтр по подстроке comhttps ловит почти все записи. В выводе видны логины и пароли — отдельным аккуратным блоком, по одной строке на сайт.

Почему у Chrome так не работает

Google Chrome расшифровывает пароль только в момент, когда он действительно нужен — на автозаполнении или когда пользователь сам открывает «показать пароль». В остальное время в памяти лежит зашифрованная версия.

Сверх того в Chrome есть Application-Bound Encryption (ABE) — это механизм, привязывающий ключи шифрования паролей к Chrome через отдельный сервис с правами SYSTEM. Чтобы дотянуться до ключей, инфостилеру (вредоносу, который ворует учётные данные) нужно повышать привилегии до SYSTEM, а пользовательских прав — недостаточно. У Edge этой защиты не наблюдается: пароли в памяти браузерного процесса лежат в открытом виде.

Что говорит Microsoft

Microsoft получила отчёт об исследовании заранее и квалифицировала поведение как «не уязвимость». 6 мая 2026 года представитель компании дал официальный комментарий CyberNews:

Безопасность и приватность — фундамент Microsoft Edge. Сценарий, описанный в отчёте, требует, чтобы устройство уже было скомпрометировано. Дизайн в этой области — компромисс между производительностью, удобством и безопасностью; мы продолжаем оценивать его в свете новых угроз. Браузеры обращаются к данным паролей в памяти, чтобы пользователь мог быстро и удобно входить — это ожидаемая функция приложения. Рекомендуем установить последние обновления безопасности и антивирус.
Представитель Microsoftкомментарий CyberNews, 6 мая 2026

На Hacker News тема собрала живое обсуждение. Один из тезисов: «если атакующий уже может читать произвольную память, он, вероятно, в состоянии и аутентифицироваться от имени пользователя». Уточнение в комментариях: терминальные серверы и общие рабочие станции — типичный сценарий, когда у администратора сервера легитимно есть доступ к памяти всех залогиненных пользователей, и поведение Edge превращает этот доступ в доступ ко всем их учётным записям разом.

Что делать сейчас

  • На терминальных серверах и общих рабочих машинах отключить сохранение паролей в Edge или перейти на Chrome или Firefox.
  • Перенести пароли в специализированный менеджер: 1Password, Bitwarden, KeePass — они шифруют записи в памяти и достают их по одной за раз, а не разом всю базу.
  • Для самых критичных аккаунтов — мигрировать с пароля на passkey (вход без пароля по биометрии или PIN, стандарт FIDO2). Приватный ключ обычно лежит в TPM, Secure Enclave или защищённом keychain и не попадает в память приложения в виде, пригодном для копирования.
  • Везде, где пароль остался — обязательно включить второй фактор: TOTP (Google Authenticator, Authy) или аппаратный ключ (YubiKey, Titan).
  • Проверять, что Windows-учётка обычного пользователя не имеет прав администратора: тогда вредоносная программа в его контексте не сможет добраться до памяти других сессий.

Про автора исследования

Tom Jøran Sønstebyseter Rønning — норвежский исследователь по безопасности. Никнейм @L1v1ng0ffTh3L4N («living off the LAN») отсылает к living-off-the-land технике — использовать штатные средства окружения вместо принесённых вредоносных инструментов. PoC по Edge — продолжение той же темы: атакующему ничего не нужно, кроме штатного Task Manager и стандартной утилиты strings.

Частые вопросы
1
Это уязвимость или нет?

Microsoft квалифицирует поведение как «не уязвимость» и считает его частью дизайна. С точки зрения практики — это небрежный подход к безопасности: на терминальных серверах и при инфостилерных атаках поведение даёт атакующему лёгкий способ забрать всю базу паролей разом.

2
Можно ли воспроизвести на своей машине, не нарушая закон?

Да. На своей машине, в своей пользовательской сессии, со своими паролями — никаких правовых ограничений нет. Для воспроизведения хватит Task Manager и Sysinternals strings. Никаких прав администратора не требуется.

3
У Chrome такая же проблема?

По данным исследователя, нет. Chrome расшифровывает пароль только в момент использования и защищён Application-Bound Encryption. Про Firefox в публикации данных нет — нужна отдельная проверка.

4
Что делать на корпоративном терминальном сервере?

Отключить менеджер паролей Edge политикой группы или сменить браузер на Chrome / Firefox. На терминальном сервере администратор по дизайну имеет доступ к памяти других сессий — это означает фактический доступ ко всем паролям, сохранённым в Edge.

5
Помогут ли антивирус и обновления, как советует Microsoft?

Не от этой проблемы. Антивирус не мешает легитимному пользователю снять дамп своего браузерного процесса. Реальные меры — менеджер паролей, passkeys и второй фактор.

Выводы

Edge показывает биометрический запрос при попытке открыть пароль в UI, но в памяти процесса параллельно лежит копия в открытом виде. Это ровно тот самый «security theatre» — показная безопасность, на которую часто жалуются исследователи: визуально серьёзный замок на двери при открытом окне сбоку. Microsoft пока не планирует менять поведение.

Для пользователя вывод простой: не доверять менеджеру паролей браузера. Это удобный сервис автозаполнения, но не безопасное хранилище. Серьёзный пароль и тем более ключ от рабочих сервисов — место не там.

Технический разбор и proof-of-concept — у Tom Jøran Sønstebyseter Rønning в треде на X. Независимая верификация и пошаговая инструкция — у Rob VandenBrink, SANS ISC, выпуск 32954. Развёрнутый разбор и комментарий Microsoft — на CyberNews.

В этой статье
  1. Главное
  2. Как воспроизвести за три минуты
  3. Почему у Chrome так не работает
  4. Что говорит Microsoft
  5. Что делать сейчас
  6. Про автора исследования
  7. Частые вопросы
  8. Выводы
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter