在浏览器密码管理器的安全研究中,加密存储与传输层面的防护已获得广泛讨论,但内存层面的防护却长期被忽视。微软 Edge 密码管理器近期被安全研究者披露存在一个关键漏洞:即使某些密码从未被用户主动使用或访问过,这些凭据仍会在进程启动时被解密并加载到内存中,形成安全社区所称的「冷路径」攻击面。本文将从技术原理、攻击链建模与风险量化三个维度,深入分析这一问题的工程细节与防御路径。
核心问题:启动时全量解密机制
Edge 密码管理器的设计逻辑与传统浏览器存在本质差异。当用户首次登录 Edge 并解锁密码保险库后,Edge 会在进程启动阶段将所有已保存的凭据一次性解密并加载至内存,而非采用「按需解密」的延迟加载策略。这一行为已被多位安全研究者通过动态内存分析工具验证:在 Edge 主进程以及渲染进程的相关内存区域中,可以直接搜索到明文存储的密码字符串,即便该密码对应的网站登录入口在当前会话中从未被打开。
这种全量解密的设计选择带来了直接的安全后果。传统认知中,用户未主动访问的密码应当处于「冷状态」,既不在 UI 层面暴露,也不在内存中解密。然而 Edge 的实现逻辑打破了这一假设 —— 只要密码存在于加密保险库中,启动时就会被解密并驻留在进程堆内存里。这意味着攻击者只需获得目标进程的内存读取能力,即可提取所有保存的密码,而不论这些密码是否被实际使用过。
从内存布局的角度分析,Edge 将解密后的密码以宽字符格式存储在堆内存对象中,伴随密码字符串的还包括网站 URL、用户名等关联元数据。安全研究者通过 Windbg、WinDbg Preview 等调试工具附加 Edge 进程,使用!address -f:PAGE_READWRITE遍历堆内存块,并结合字符串搜索模式成功定位到大量明文凭据。整个过程不需要任何特权提升,仅需具备将调试器附加到目标进程的权限,这在本地攻击场景中极易实现。
冷路径攻击链的工程建模
理解这一攻击面需要引入「冷路径」的概念框架。在密码管理器的正常使用流程中,存在一条「热路径」—— 即用户主动点击登录表单、触发自动填充时的凭据调用路径;与之对应的「冷路径」则指那些虽已保存但从未被调用的凭据。传统密码管理器在冷路径上的安全边界相对可控,因为未使用的凭据根本不会被解密。Edge 的全量解密机制则彻底模糊了这一边界,将所有保存的密码无论使用与否全部纳入内存风险敞口。
攻击链可细化为以下阶段。第一阶段是初始访问,攻击者需要获得在目标主机上执行代码的能力,这可以通过钓鱼投递、供应链感染或利用内核漏洞实现。在获得基本代码执行权限后,第二阶段涉及权限维持在目标系统上部署持久化工具,如 Cobalt Strike Beacon 或自定义恶意软件。第三阶段是内存枚举,恶意软件调用OpenProcess获取 Edge 进程句柄,使用ReadProcessMemory遍历进程虚拟地址空间,搜索符合特定字符集模式的字符串序列。由于 Edge 的密码以明文形式存在于堆内存中,且未实施内存加密或混淆,简单的字符串匹配即可高效提取。
值得特别关注的是多用户环境下的风险放大效应。在终端服务器、远程桌面服务(RDS)或共享工作站场景中,多个用户可能同时或交替登录同一台主机。当用户 A 解锁 Edge 密码保险库后,所有凭据被解密并加载至内存;即便用户 A 退出登录或锁定屏幕,只要 Edge 进程未终止,这些凭据就仍然驻留在内存中。此时,拥有管理员权限的用户 B 或攻击者可以枚举用户 A 的 Edge 进程内存,实现跨会话凭据窃取。这种攻击在传统企业 IT 环境中尤为常见,因为管理员经常需要调试用户进程或进行技术支持。
风险量化与攻击面评估
从量化角度评估这一攻击面,需要考虑几个关键变量。首先是凭据总量 —— 根据行业调查报告,普通企业用户平均在浏览器中保存 30 至 50 个网站密码,而高活跃用户可能保存超过 100 个。这意味着一次成功的内存提取攻击可能获得数十乃至上百个有效凭据,攻击者拥有极大的选择空间来寻找高价值目标。
其次是驻留时长。Edge 进程的存活时间通常较长 —— 用户可能保持浏览器窗口连续开启数天甚至数周。在此期间,加密的密码只需在启动时解密一次,随后便持续以明文形式存在于内存中。这一时间窗口远超传统 Web 会话的生命周期,为攻击者提供了充裕的操作时间。更为关键的是,即使浏览器进入空闲状态或用户切换到其他工作区,Edge 进程通常不会主动释放或清空这些内存区域,导致明文凭据长时间驻留。
第三是攻击门槛的量化评估。将调试器附加到用户进程、在他人进程中进行内存扫描 —— 这些操作在技术上并不复杂,掌握基础逆向工程知识的攻击者即可实现。MITRE ATT&CK 框架已将此类技术归类为「从密码存储中窃取凭据」(Credential Thefts from Password Stores),而 Edge 的行为恰好符合该技术变种的典型特征。对于拥有本地管理员权限的攻击者,攻击成功率接近百分之百,因为 Edge 并未部署反调试或内存混淆等防护手段。
对比分析与行业参照
将 Edge 的行为与行业同类产品进行对比,能够更清晰地凸显其安全设计的差异。谷歌 Chrome 在较新版中实现了密码的按需解密机制 —— 仅当用户实际触发自动填充操作时,目标密码才会从加密存储中读取并加载到内存,操作完成后内存区域会被尽快清空。火狐浏览器同样采用了更严格的内存管理策略,通过分区隔离和周期性清理减少凭据在内存中的暴露面积。1Password 和 Bitwarden 等专业密码管理器则实施了更进一步的内存保护措施,包括主密码不在内存中长期保留、敏感数据使用后立即覆写等。
微软官方文档将 Edge 密码管理器的全量解密行为描述为「设计如此」(by design),并将其定位为功能优先与安全平衡的结果。微软认为,在单用户家庭场景下,这种设计提升了自动填充的响应速度与用户体验。然而,在企业共享环境和高安全需求场景中,这一设计选择带来的风险显然超过了其便利性收益。安全社区普遍认为,微软应在企业版 Edge 中提供更严格的内存保护选项,例如基于会话的凭据解密或管理员可控的密码保险库锁定策略。
防御路径与缓解建议
针对 Edge 密码管理器的冷路径内存风险,组织可从以下几个层面构建纵深防御体系。
在端点访问控制层面,应当严格限制对共享主机上用户进程的调试权限。通过组策略禁用非管理员用户的调试权限,或使用SeDebugPrivilege限制机制,能够有效阻断攻击者附加调试器读取内存的初始步骤。在终端服务器环境中,建议为每个用户会话配置独立的虚拟化桌面或容器隔离,避免跨会话内存污染。
在凭据管理策略层面,组织应当重新评估哪些凭据适合存储在浏览器内置密码管理器中。对于高敏感性系统(如域管理员账号、财务系统、企业 VPN),建议强制使用专用硬件令牌或企业级密码保险库(如 Azure Key Vault、CyberArk)进行管理,而非依赖浏览器存储。同时,定期审计员工浏览器中保存的凭据清单,清理长期未使用的「冷凭据」,可以有效缩小攻击面。
在检测与响应层面,端点检测与响应(EDR)解决方案应配置针对进程内存枚举行为的监控规则。例如,检测非管理员进程尝试读取其他用户 Edge 进程内存的事件,或监控来自异常进程的ReadProcessMemory调用。此外,安全运营中心可将此类攻击特征纳入威胁狩猎剧本,主动搜索内存中是否存在明文密码的异常模式。
在浏览器配置层面,组织可通过 MDM 或组策略为企业版 Edge 部署更严格的密码管理策略。虽然目前 Edge 未提供完全禁用启动时全量解密的原生选项,但管理员可以强制要求用户启用 Microsoft Defender for Browser 等防护组件,并定期进行凭据泄露检测。对于极高安全需求的部门,可考虑限制 Edge 的使用范围,转而部署配置了更强内存保护的 Chromium 衍生浏览器。
小结
Edge 密码管理器的未使用密码明文驻留问题,揭示了浏览器密码管理器在内存安全层面的设计盲区。全量解密机制虽提升了使用便利性,却在冷路径上制造了广阔的静态攻击面。在多用户环境、共享终端或管理员权限被突破的场景下,这一漏洞可被攻击者高效利用,实现大规模凭据窃取。组织应当认识到浏览器内置密码管理器的安全边界,在高风险场景下优先采用专业密码管理方案,并通过严格的端点访问控制与内存监控措施构建有效防线。
资料来源:安全研究披露(computing.co.uk)、PPC Land 报道、MITRE ATT&CK 框架相关条目。