Microsoft memperbarui browser web Edge untuk memastikannya tidak lagi memuat kata sandi yang disimpan ke dalam memori proses dalam teks yang jelas saat startup setelah sebelumnya menyatakan itu “sesuai desain”.
Perilaku ini diungkapkan pada 4 Mei oleh peneliti keamanan Tom Jøran Sønstebyseter Rønning, yang mendemonstrasikan bahwa semua kredensial yang disimpan di pengelola kata sandi bawaan Edge didekripsi saat peluncuran dan disimpan di memori bahkan saat tidak digunakan.
Ronning juga merilis alat bukti konsep (PoC). yang akan memungkinkan penyerang dengan hak istimewa Administrator untuk membuang kata sandi dari proses Edge pengguna lain (tanpa hak istimewa admin, PoC hanya mengizinkan akses ke proses Edge yang diluncurkan oleh pengguna yang sama).
Dia juga mengatakan bahwa dia telah melaporkan masalah ini ke Microsoft dan diberi tahu bahwa perilaku tersebut “direncanakan” sebelum dia mengungkapkannya kepada publik.
“Edge adalah satu-satunya browser berbasis Chromium yang saya uji yang berperilaku seperti ini. Sebaliknya, Chrome menggunakan desain yang mempersulit penyerang mengekstrak sandi yang disimpan hanya dengan membaca memori proses,” kata peneliti.
Meskipun awalnya menolak untuk mengatasi masalah ini, mengatakan kepada BleepingComputer pada saat itu bahwa “ini adalah fitur yang diharapkan dari aplikasi,” Microsoft mengumumkan pada hari Rabu bahwa versi Edge yang akan datang tidak akan lagi memuat kata sandi yang disimpan ke dalam memori saat startup, meskipun skenario yang dilaporkan termasuk dalam model ancaman yang diharapkan (tidak termasuk serangan di mana musuh sudah memiliki kendali administratif atas perangkat).
“Perubahan pertahanan mendalam ini akan terjadi pada setiap versi Edge yang didukung (Stable, Beta, Dev, Canary, dan saluran Extended Stable yang dijalankan oleh pelanggan perusahaan kami), dan kami memprioritaskan peluncurannya,” kata Pimpinan Keamanan Microsoft Edge Gareth Evans.
“Dengan komitmen kami terhadap Inisiatif Masa Depan Aman dan umpan balik pelanggan, kami mengambil pandangan yang lebih luas. Hal ini berarti tidak hanya melihat apakah sesuatu memenuhi standar masalah keamanan, namun juga pada titik di mana kami dapat mengurangi paparan melalui peningkatan pertahanan yang mendalam. Dalam hal ini, mengurangi paparan kata sandi dalam memori merupakan langkah praktis menuju arah tersebut.”
Perbaikan sudah tersedia di saluran Edge Canary dan akan disertakan dalam pembaruan berikutnya untuk semua rilis Edge yang didukung (build 148 dan yang lebih baru).
Tahun lalu, Microsoft juga memperkenalkan fitur keamanan Edge baru untuk melindungi pengguna dari ekstensi berbahaya yang dimasukkan ke browser web, dan akses terbatas ke mode Internet Explorer Edge setelah peretas mulai memanfaatkan eksploitasi zero-day di mesin Chakra JavaScript untuk mengakses perangkat target.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
