Iniciativa CpC: Cidadãos pela Cibersegurança

Microsoft Edge guarda todas as passwords em memória, em texto simples e a Microsoft considera que é comportamento normal

Published by

Rui Martins

on

Publicado a 6 de maio de 2026 | CpC — Cidadãos pela Cibersegurança

O que foi descoberto

Tom Jøran Sønstebyseter Rønning, investigador de segurança norueguês, identificou e documentou um comportamento preocupante no Microsoft Edge: sempre que o browser é iniciado, todas as credenciais guardadas através do Microsoft Password Manager (a funcionalidade de preenchimento automático integrada no Edge) são carregadas na memória do processo principal — completamente desencriptadas, em texto simples.

O investigador publicou uma ferramenta de prova de conceito, desenvolvida em C#/.NET, que demonstra como é possível extrair essas credenciais da memória do processo-pai do Edge. A ferramenta foi confirmada como funcional até à versão 147.0.3912.98, a mais recente disponível à data da divulgação.

A Microsoft foi contactada. A resposta: trata-se de comportamento intencional. Não haverá correção.

O que torna isto diferente dos outros browsers

A questão técnica central não é nova — qualquer browser baseado em Chromium tem de desencriptar credenciais em memória para as usar no preenchimento automático. O problema específico do Edge é distinto:

O Chrome, o Brave e outros browsers baseados em Chromium apenas desencriptam a credencial necessária, no momento em que é necessária, e removem-na da memória de seguida. O Edge carrega todas as passwords guardadas, desencriptadas, logo no arranque — independentemente de serem necessárias ou não.

Isto significa que, em qualquer momento em que o Edge esteja aberto, a totalidade das credenciais do utilizador existe em memória, acessível a quem tiver os privilégios adequados para inspecionar esse processo.

Confirmação independente pelo SANS Internet Storm Center

Rob VandenBrink, investigador do SANS Internet Storm Center, reproduziu e confirmou o comportamento de forma independente. O processo descrito é o seguinte:

  1. Abrir o Edge — sem navegar para nenhum site.
  2. Abrir o Gestor de Tarefas do Windows (não o gestor interno do Edge, acessível via Shift+Esc).
  3. No separador “Detalhes”, localizar o processo principal msedge.exe — identificável por ser o processo-pai de todos os outros processos Edge, verificável através do comando wmic process where "name='msedge.exe'" get ProcessId,ParentProcessId. Clicar com o botão direito e escolher “Criar Ficheiro de Memória”. Este passo requer privilégios de administrador — um utilizador comum sem elevação não consegue executá-lo.
  4. Abrir o ficheiro de dump com a ferramenta Strings (disponível no pacote Sysinternals da Microsoft) e pesquisar pelo padrão comhttps — que corresponde ao formato em que as credenciais ficam armazenadas: <url><protocolo> <utilizador> <password>:
strings.exe -n 8 "C:\caminho\para\msedge.DMP" | findstr "comhttps"

VandenBrink sublinha a ironia: para consultar as mesmas passwords diretamente no browser, o Edge exige autenticação biométrica. O dump de memória não exige nada disso. A Microsoft classifica o comportamento como intencional.

Verificação independente pela CpC — resultado inconclusivo

A CpC tentou reproduzir o comportamento descrito em dois sistemas distintos: Windows Server 2022 via RDP e macOS. Em nenhum dos casos foi possível confirmar a presença de credenciais em texto simples na memória do processo Edge.

Windows Server 2022 (10.0.20348) com Edge 147.0.3912.98 via RDP

As credenciais de teste foram guardadas através do Microsoft Password Manager e confirmadas presentes em edge://settings/autofill/passwords. O dump de memória foi criado com privilégios de administrador a partir do processo-pai correto do Edge, identificado por hierarquia de processos via wmic, gerando um ficheiro de 664 MB. A pesquisa com a ferramenta Strings do Sysinternals, tanto em modo ASCII como Unicode, não devolveu qualquer credencial em texto simples. Este é precisamente o tipo de ambiente — servidor de terminal com sessão RDP — identificado pelo investigador original como o cenário de maior risco.

macOS com Edge 147.0.3912.98

A extração não foi sequer possível por razões de arquitetura do sistema operativo. O macOS combina duas camadas de proteção independentes que bloqueiam este tipo de acesso nas condições normais de utilização: o SIP (System Integrity Protection), que restringe o acesso a processos do sistema mesmo com privilégios de root, e o hardened runtime ativo no Edge para macOS, que impede explicitamente o attach de ferramentas de depuração externas ao processo. Tentativas via gcore com sudo falharam com erro de privilégios insuficientes apesar de SIP não estar completamente desativado, e tentativas via lldb falharam com erro explícito de attach negado pelo sistema. A desativação destas proteções exigiria acesso físico à máquina e reinício em modo de recuperação — fora do alcance de qualquer atacante remoto.

Quem está em maior risco

O risco documentado pelo investigador original é especialmente relevante em ambientes partilhados: servidores de terminal, infraestruturas de acesso remoto via RDP, quiosques corporativos, ou qualquer sistema onde múltiplos utilizadores iniciem sessão na mesma máquina. Nesses contextos, um atacante com privilégios de administrador poderia aceder aos processos Edge de todos os utilizadores ligados — incluindo sessões desligadas mas ainda ativas — e extrair as respetivas passwords em texto simples.

A extração requer privilégios de administrador e não constitui um exploit no sentido técnico estrito. No entanto, num cenário de pós-comprometimento — que é precisamente o cenário em que os atacantes operam após obterem acesso inicial a um sistema — esta exposição representaria uma vantagem operacional significativa, reduzindo o esforço de movimentação lateral e de escalada de privilégios.

Medidas recomendadas

Independentemente do estado atual da vulnerabilidade, as seguintes medidas continuam a ser pertinentes:

Migrar as credenciais para um gestor de passwords dedicado. Ferramentas como Bitwarden, KeePassXC ou 1Password foram concebidas especificamente para gerir o ciclo de vida seguro de credenciais em memória. O armazenamento de passwords em browsers não oferece garantias equivalentes — e o historial desta situação demonstra que essas garantias podem mudar sem aviso.

Desativar o Microsoft Password Manager no Edge. Em Definições → Passwords → desativar “Oferecer para guardar passwords” e “Preenchimento automático de passwords”. Recomenda-se exportar previamente qualquer credencial que ainda seja necessária.

Em ambientes empresariais, avaliar a exposição. Mesmo que o comportamento tenha sido corrigido, a ausência de comunicação oficial da Microsoft não permite confirmar em que versões, configurações ou plataformas a correção foi aplicada. Ambientes com servidores de terminal e sessões Edge ativas merecem atenção continuada.

Contexto e conclusão

O comportamento documentado pelo investigador original foi confirmado de forma independente pelo SANS Internet Storm Center em maio de 2026. A CpC não conseguiu reproduzi-lo nas condições testadas — Windows Server 2022 com Edge 147.0.3912.98 em sessão RDP, o cenário de maior risco descrito na investigação original.

Existem três explicações possíveis: a Microsoft corrigiu silenciosamente o comportamento numa atualização de componente sem alteração de número de versão visível; o comportamento depende de condições de configuração específicas não documentadas; ou a correção foi aplicada de forma parcial, afetando apenas determinadas configurações ou versões do sistema operativo.

O que é certo é que a Microsoft nunca confirmou publicamente ter corrigido o problema — limitou-se a classificá-lo como comportamento intencional. Esta ausência de comunicação é em si problemática: os utilizadores e administradores de sistemas não dispõem de informação suficiente para avaliar com segurança o risco atual das suas configurações. Uma falha que a Microsoft recusa reconhecer como tal também não terá, por definição, uma nota de correção que permita verificar se e quando foi resolvida.

A recomendação da CpC mantém-se: não confiar na gestão de passwords integrada em qualquer browser como camada principal de proteção de credenciais.

Referências

Repositório da prova de conceito: github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper Artigo SANS ISC (Rob VandenBrink, 4 de maio de 2026): isc.sans.edu/diary/32954 Discussão original no X: @L1v1ng0ffTh3L4N (4–5 de maio de 2026) Versão afetada confirmada pelo investigador original: Microsoft Edge 147.0.3912.98 e anteriores Versões testadas pela CpC: Microsoft Edge 147.0.3912.98 em Windows Server 2022 (10.0.20348) via RDP e macOS

Deixe um comentário

Previous Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

← Back

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.