安全研究员 L1v1ng0ffTh3L4N 近日在 GitHub 公开工具 EdgeSavedPasswordsDumper,演示 Microsoft Edge 在用户启用密码自动填充功能后,会将所有已保存凭据以明文形式留存于父进程内存中。研究员称,持有管理员权限的攻击者可直接读取同一终端服务器上所有已登录或已断开会话用户的 Edge 进程内存,从而批量获取其密码。当前受影响版本为 Edge 147.0.3912.98 及更早版本。
据研究员披露,其将此问题反馈给微软后,微软回应称该行为"属于设计如此",不予修复。该工具基于 .NET 3.5 构建,研究员特别说明此举可规避未来潜在的 AMSI 检测。此外,工具运行需要管理员权限。安全界人士指出,此类内存明文凭据问题在企业终端服务器等多用户共享环境中风险最为突出——一旦攻击者完成权限提升,同机所有用户的 Edge 密码均面临暴露风险。
GitHub
https://github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper/tree/main/EdgeSavedPasswordsDumper