A mudança ocorre após o pesquisador de segurança Tom Jøran Sønstebyseter Rønning divulgar em 4 de maio que todas as credenciais armazenadas no gerenciador de senhas integrado do **Edge** eram descriptografadas ao iniciar e mantidas na memória, mesmo quando não estavam em uso. Isso expôs um potencial vetor de ataque para agentes maliciosos com privilégios suficientes. ## Prova de Conceito e Resposta Inicial Rønning também lançou uma ferramenta de prova de conceito (PoC), disponível no [GitHub](https://github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper), demonstrando como atacantes com privilégios de Administrador poderiam extrair senhas de processos do **Edge** de outros usuários. Sem privilégios de administrador, a PoC permite o acesso a processos do **Edge** iniciados pelo mesmo usuário. Ele relatou o problema à **Microsoft**, apenas para ser informado de que o comportamento era 'por design'. "O **Edge** é o único navegador baseado em Chromium que testei que se comporta dessa maneira. Em contraste, o Chrome usa um design que torna muito mais difícil para os atacantes extrair senhas salvas simplesmente lendo a memória do processo", declarou Rønning. ## A Mudança de Ideia Apesar de defender inicialmente a prática, a **Microsoft** anunciou agora que versões futuras do **Edge** não carregarão mais senhas salvas na memória na inicialização. Essa decisão ocorre mesmo que o cenário relatado se enquadre no modelo de ameaças existente da **Microsoft**, que exclui ataques em que um adversário já tem controle administrativo de um dispositivo. "Esta mudança de defesa em profundidade chegará a todas as versões suportadas do **Edge** (Stable, Beta, Dev, Canary e o canal Extended Stable que nossos clientes corporativos utilizam), e estamos priorizando a implementação", disse Gareth Evans, Líder de Segurança do **Microsoft Edge**, em um [postagem no blog](https://microsoftedge.github.io/edgevr/posts/Saved-passwords-in-Edge-memory-what-werechanging-and-why/). "Com nosso compromisso com a Iniciativa de Futuro Seguro e o feedback dos clientes, estamos adotando uma visão mais ampla. Isso significa olhar não apenas se algo atende ao critério para um problema de segurança, mas também onde podemos reduzir a exposição por meio de melhorias de defesa em profundidade. Neste caso, reduzir a exposição de senhas na memória é um passo prático nessa direção." ## Disponibilidade A correção já está ativa no canal **Edge** Canary e será incluída na próxima atualização para todas as versões suportadas do **Edge** (build 148 e mais recentes). ## Outras Melhorias de Segurança Recentes no Edge No ano passado, a **Microsoft** também introduziu um novo recurso de segurança do **Edge** para proteger os usuários contra extensões maliciosas carregadas lateralmente no navegador e restringiu o acesso ao modo Internet Explorer do **Edge** após hackers começarem a explorar exploits 0-day no motor JavaScript Chakra para acessar dispositivos alvo. <a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a> ## O Gap de Validação: Pentesting Automatizado Responde a Uma Pergunta. Você Precisa de Seis. Ferramentas de pentesting automatizado entregam valor real, mas foram criadas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)