Microsoft Edge, kullanılmadığında bile tüm parolaları bellekte düz metin olarak tutuyor

 (twitter.com/L1v1ng0ffTh3L4N)
1 puan yazan GN⁺ 2 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Microsoft Edge, kayıtlı parolaların tamamını başlangıçta çözüyor ve bu kimlik bilgilerini süreç belleğinde düz metin olarak tutuyor
  • Kullanıcı bu kimlik bilgilerini kullanan siteyi ziyaret etmese bile bu davranış gerçekleşiyor
  • Edge’in Password Manager arayüzü aynı parolayı göstermeden önce yeniden kimlik doğrulama istiyor, ancak tarayıcı süreci zaten tüm parolaları düz metin olarak elinde tutuyor
  • Test edilen Chromium tabanlı tarayıcılar arasında yalnızca Edge bu şekilde çalıştı; Chrome ise kayıtlı parolaların yalnızca süreç belleğinden okunup çıkarılmasını daha zorlaştıracak şekilde tasarlanmış durumda
  • Chrome, kimlik bilgileri yalnızca gerektiğinde çözüyor ve App-Bound Encryption (ABE) ile çözmeyi yetkili Chrome sürecine bağlayarak diğer süreçlerin Chrome’un şifreleme anahtarını yeniden kullanmasını engelliyor
  • Bu kontrol sayesinde düz metin parolalar yalnızca otomatik doldurma sırasında veya kullanıcı doğrudan görmek istediğinde kısa süreliğine ortaya çıkıyor; böylece geniş kapsamlı bellek kazımanın etkisi azalıyor

Risk senaryoları ve açıklama durumu

  • Paylaşımlı ortamlarda düz metin parolaların bellekte tutulması daha büyük risk oluşturuyor
  • Saldırgan bir terminal sunucusunda yönetici yetkisi elde ederse oturum açmış tüm kullanıcı süreçlerinin belleğine erişebilir
  • Gösterimde, yönetici yetkisine sahip bir kullanıcı hesabını ele geçiren saldırgan, Edge çalışan diğer iki oturum açmış kullanıcının veya bağlantısı kesilmiş kullanıcıların kayıtlı kimlik bilgilerini görebildi
  • Bu davranış Microsoft’a bildirildi ve resmi yanıt, bunun “by design” olduğu yönündeydi
  • Kullanıcıların ve kurumların kimlik bilgisi yönetimi yaklaşımını değerlendirebilmesi için bunun sorumlu açıklama kapsamında paylaşılacağı Microsoft’a iletildi
  • 29 Nisan Çarşamba günü, Palo Alto Networks Norway’in BigBiteOfTech etkinliğinde bu konu açıklandı ve parolaların bellekte düz metin olarak saklanıp saklanmadığını kolayca kontrol eden basit bir araç gösterildi
  • Kavram kanıtlama aracı GitHub’da yayımlandı; C# ve GitHub dağıtımı konusunda fazla deneyim olmadığı için geri bildirim isteniyor: EdgeSavedPasswordsDumper

İlgili okumalar

1 yorum

 
GN⁺ 2 시간 전
Hacker News görüşleri
  • Bu, hermetik kapağın diğer tarafında olma durumuna zaten çok yakın. Rastgele bir süreç belleğini okuyabiliyorsanız, muhtemelen ilgili kullanıcıyı taklit edip parolaları doğrudan dökebileceğiniz bir konumdasınızdır
    Bir saldırgan terminal sunucusunda yönetici ayrıcalıkları elde ederse oturum açmış tüm kullanıcı süreçlerinin belleğine erişebilir ve yönetici olarak tüm Chrome süreçlerine bir debugger bağlayıp parola çözmeyi zorlayabilir
    Gerçek fark, olsa olsa bir cold boot saldırısı düzeyindedir; onun bile saldırıyı biraz mı kolaylaştırdığı, yoksa normalde mümkün olmayan bir saldırıyı mı mümkün kıldığı belirsiz
    [1] https://devblogs.microsoft.com/oldnewthing/20060508-22/?p=31...
    • Bu mantık, Chromium tehdit modeli ile tamamen örtüşüyor. Saldırgan yönetici ayrıcalıkları elde ettiği anda tanım gereği oyun biter
      Bunun yalnızca Edge'e özgü bir sorun olması pek olası görünmüyor ve Microsoft'un tarayıcıyı upstream projeden daha az güvenli hale getirmek için bir nedeni de yok
      Chrome, fiziksel olarak yerel saldırıları tehdit modelinin dışında görüyor; bir kullanıcı benim cihazımda benim hesabımla oturum açtıysa veya işletim sistemindeki kullanıcı yetkimle yazılım çalıştırabiliyorsa, Chrome'un ya da herhangi bir uygulamanın buna karşı savunma yapmasının bir yolu olmadığı kabul ediliyor
      Böyle bir saldırgan yürütülebilir dosyaları ve DLL'leri değiştirebilir, PATH gibi ortam değişkenlerini değiştirebilir, yapılandırma dosyalarını değiştirebilir, kullanıcı hesap verilerini okuyup dışarı sızdırabilir; dolayısıyla Chrome'un sağlayabileceği anlamlı bir savunma garantisi yok görüşündeler
      https://chromium.googlesource.com/chromium/src/+/148.0.7778....
    • Son birkaç yılda, yalnızca normal kullanıcı ayrıcalıklarıyla bile rastgele bellek okuma sağlayabilen tarayıcı açıkları oldu; sadece bunlar yavaştı ya da konum denetimi tam değildi. Kimlik bilgilerinin kullanıldıktan hemen sonra mümkün olduğunca hızlı temizlenmesi, sadece bir hendek daha kazmak anlamına gelse bile oldukça makul bir önlem gibi görünüyor
    • Güvenlik siyah beyaz değildir. Giriş bilgilerini yazdığınız bir Post-it'i monitöre yapıştırmak, onları kilitsiz bir çekmeceye koymaktan açıkça daha risklidir; yani arada dereceler vardır
    • Kullanıcı açısından bakarsak, her parola yapıştırma girişiminden önce önce biyometrik doğrulama ile oturum açmam gerekiyor ama herhangi bir kullanıcı süreci bellekteki parolaları çekip alabiliyor mu?
      Neyi kaçırdığımı anlamıyorum
    • Cloudbleed'i şimdiden mi unuttuk?
      [0] https://en.wikipedia.org/wiki/Cloudbleed
  • Referans olması için, Google Chrome'un bellekteki parolaları şifreleyerek tuttuğunu ve diğer süreçlerin Chrome gibi davranıp düz metin parolalara erişmesini engellemek için bir ayrıcalık yükseltme servisi kullandığını açıklıyor: https://security.googleblog.com/2024/07/improving-security-o...
  • Açık söylemek gerekirse olası saldırı yollarından biri, bilgisayarı kilitlemeden 5 dakikalığına tuvalete gittiğinizde kötü niyetli birinin siz dönmeden önce tüm parolaları dökmesi durumu
    Bence bunu dikkate almaya değer. Parola yöneticilerinin 10 dakika sonra ana parolayı veya passkey'i yeniden istemesinin bir nedeni var
    Chrome'un şifrelenmiş güvenli bir alana dayandığını düşündüğüm için, root yetkisiyle bile parolaları kolayca çıkarmanın epey zor olduğunu sanıyordum
    Elbette bilgisayarınızı başıboş bırakmamalısınız. Ama bu, kaçınılmaz hataların yıkıcı biçimde istismar edilmesini kolaylaştıracak şekilde ürün tasarlamanın kabul edilebilir olduğu anlamına gelmez
  • Bu araç aynı makinede çalışan Edge instance'ına mı erişiyor? Öyleyse kayıtlı parolaları doğrudan dışa aktarmak mümkün değil mi?
    https://support.microsoft.com/en-us/topic/export-passwords-i...
    • Parola yöneticileri çoğu zaman bellekteki parolaları güvende tutmak için epey çaba harcar, ancak bu araçların saldırı modeli çoğu zaman yeterince anlaşılmış değildir
      Örneğin KeePass gibi araçlar tarayıcı eklentilerini kaydetme konusunda oldukça dikkatli davranır ama sıradan kullanıcı ayrıcalıkları bile varsa tarayıcıdan o anahtarı çekip istediğinizi yapabilirsiniz
      Web uygulamalarındaki “bu tarayıcıya güven” benzeri yaklaşımlar da çerez deposu kolayca okunabiliyorsa tuhaf geliyor
  • Linux'taki PAM ile de benzer bir şey yapılabilir gibi görünüyor. gdb'yi openssh ya da getty oturum açma sürecine bağlamanız yeterli
  • Bu .exe'nin kaynak kodu bağlantısı var mı? Nasıl çıkardığını görmek isterim
  • Asıl hata, hâlâ basit parola kimlik doğrulaması kullanılıyor olması. Challenge-response veya açık anahtar kimlik doğrulaması kullanılmalı
  • Adil olmak gerekirse, belleğe yüklemek ile orada saklamak aynı şey değildir
    • Başlıkta “bellekte saklıyor” deniyor ama bana neredeyse aynı şey gibi geliyor. Belleğe “yüklemek” ile “saklamak” arasındaki farkı nasıl gördüğünü açıklayabilir misin?
  • Yanılıyorsam düzeltin ama Chrome da Windows'ta parolaları ham metin olarak tutuyordu ya da en azından eskiden öyleydi. 2021 sürümü Chrome'da bir arkadaşımın unuttuğu parolayı çıkarmıştım
    • Birkaç yıl önce, Google geliştiricilerinin yerel dosya sistemine erişiminiz varsa zaten oyunun bittiğini söyleyerek tartıştığını gördüğümü hatırlıyorum
    • Chrome 2024'te çerez dosyasına app-bound encryption ekledi