O que foi descoberto

Tom Jøran Sønstebyseter Rønning, investigador de segurança norueguês, identificou e documentou um comportamento preocupante no Microsoft Edge: sempre que o browser é iniciado, todas as credenciais guardadas através do Microsoft Password Manager (a funcionalidade de preenchimento automático integrada no Edge) são carregadas na memória do processo principal — completamente desencriptadas, em texto simples.

O investigador publicou uma ferramenta de prova de conceito, desenvolvida em C#/.NET, que demonstra como é possível extrair essas credenciais da memória do processo-pai do Edge. A ferramenta foi confirmada como funcional até à versão 147.0.3912.98, a mais recente disponível à data da divulgação.

A Microsoft foi contactada. A resposta: trata-se de comportamento intencional. Não haverá correção.

O que torna isto diferente dos outros browsers

A questão técnica central não é nova — qualquer browser baseado em Chromium tem de desencriptar credenciais em memória para as usar no preenchimento automático. O problema específico do Edge é distinto:

O Chrome, o Brave e outros browsers baseados em Chromium apenas desencriptam a credencial necessária, no momento em que é necessária, e removem-na da memória de seguida. O Edge carrega todas as passwords guardadas, desencriptadas, logo no arranque — independentemente de serem necessárias ou não.

Isto significa que, em qualquer momento em que o Edge esteja aberto, a totalidade das credenciais do utilizador existe em memória, acessível a quem tiver os privilégios adequados para inspecionar esse processo.

Confirmação independente pelo SANS Internet Storm Center

Rob VandenBrink, investigador do SANS Internet Storm Center, reproduziu e confirmou o comportamento de forma independente. O processo descrito é o seguinte:

1. Abrir o Edge — sem navegar para nenhum site.
2. Abrir o Gestor de Tarefas do Windows (não o gestor interno do Edge, acessível via Shift+Esc).
3. No separador “Detalhes”, localizar o processo principal msedge.exe — identificável por ser o processo-pai de todos os outros processos Edge, verificável através do comando wmic process where "name='msedge.exe'" get ProcessId,ParentProcessId. Clicar com o botão direito e escolher “Criar Ficheiro de Memória”. Este passo requer privilégios de administrador — um utilizador comum sem elevação não consegue executá-lo.
4. Extrair strings do ficheiro de dump com a ferramenta Strings do pacote Sysinternals da Microsoft, redirecionando o output para um ficheiro de texto:

C:\"Program Files"\strings.exe -n 8 -u "C:\Users\<perfil>\AppData\Local\Temp\msedge.DMP" > C:\temp\resultado.txt
C:\"Program Files"\strings.exe -n 8 "C:\Users\<perfil>\AppData\Local\Temp\msedge.DMP" > C:\temp\resultado_ascii.txt

As credenciais aparecem em texto simples no ficheiro de output, no formato <url><protocolo> <utilizador> <password>.

VandenBrink sublinha a ironia: para consultar as mesmas passwords diretamente no browser, o Edge exige autenticação biométrica. O dump de memória não exige nada disso. A Microsoft classifica o comportamento como intencional.

Verificação independente pela CpC

A CpC verificou o comportamento em dois sistemas distintos com resultados diferentes.

Windows 11 com Edge 147.0.3912.98 (64-bit) — confirmado

A CpC confirmou de forma independente que todas as passwords guardadas no Microsoft Password Manager estão presentes em texto simples no dump de memória do processo principal do Edge, na versão 147.0.3912.98 em Windows 11. O método utilizado foi o descrito acima, com extração via Strings do Sysinternals para ficheiro de texto. O comportamento é reproduzível e consistente com a investigação original.

Windows Server 2022 (10.0.20348) com Edge 147.0.3912.98 via RDP — não reproduzido

Num sistema Windows Server 2022 em sessão RDP, com credenciais de teste confirmadas presentes em edge://settings/autofill/passwords, o dump de memória do processo-pai correto (identificado por hierarquia via wmic, ficheiro de 664 MB) não revelou qualquer credencial em texto simples. A diferença de resultado pode estar relacionada com o sistema operativo, com políticas de grupo aplicadas no servidor, ou com o contexto de sessão RDP. Não foi possível determinar a causa com certeza.

macOS com Edge 147.0.3912.98 — não aplicável

A extração não foi possível por razões de arquitetura do sistema operativo. O macOS combina duas camadas de proteção independentes: o SIP (System Integrity Protection), que restringe o acesso a processos do sistema mesmo com privilégios de root, e o hardened runtime ativo no Edge para macOS, que impede explicitamente o attach de ferramentas de depuração externas. Tentativas via gcore com sudo e via lldb falharam com erros de acesso negado. A desativação destas proteções exigiria acesso físico à máquina e reinício em modo de recuperação.

Quem está em maior risco

O risco é especialmente relevante em ambientes partilhados: servidores de terminal, infraestruturas de acesso remoto via RDP, quiosques corporativos, ou qualquer sistema onde múltiplos utilizadores iniciem sessão na mesma máquina. Nesses contextos, um atacante com privilégios de administrador pode aceder aos processos Edge de todos os utilizadores ligados — incluindo sessões desligadas mas ainda ativas — e extrair as respetivas passwords em texto simples.

A extração requer privilégios de administrador e não constitui um exploit no sentido técnico estrito. No entanto, num cenário de pós-comprometimento — que é precisamente o cenário em que os atacantes operam após obterem acesso inicial a um sistema — esta exposição representa uma vantagem operacional significativa, reduzindo o esforço de movimentação lateral e de escalada de privilégios.

Medidas recomendadas

Migrar as credenciais para um gestor de passwords dedicado. Ferramentas como Bitwarden, KeePassXC ou 1Password foram concebidas especificamente para gerir o ciclo de vida seguro de credenciais em memória. O armazenamento de passwords em browsers não oferece garantias equivalentes.

Desativar o Microsoft Password Manager no Edge. Em Definições → Passwords → desativar “Oferecer para guardar passwords” e “Preenchimento automático de passwords”. Recomenda-se exportar previamente qualquer credencial que ainda seja necessária.

Em ambientes empresariais, avaliar a exposição. Mesmo em configurações onde o comportamento não foi reproduzido, a ausência de comunicação oficial da Microsoft não permite confirmar em que versões, sistemas operativos ou configurações o problema está ou não presente. Ambientes com sessões Edge ativas merecem atenção continuada.

Contexto e conclusão

O comportamento documentado pelo investigador original foi confirmado de forma independente pelo SANS Internet Storm Center e pela CpC em Windows 11 com Edge 147.0.3912.98. A Microsoft classificou-o como comportamento intencional e não anunciou qualquer correção.

A CpC não conseguiu reproduzir o comportamento em Windows Server 2022 via RDP nas condições testadas, o que pode refletir diferenças no sistema operativo, políticas de grupo aplicadas, ou o contexto específico de sessão remota. Esta diferença de resultado não invalida a investigação original — confirma antes que o comportamento pode variar consoante a configuração, o que torna a avaliação de risco ainda mais difícil para administradores de sistemas.

O problema mais fundo permanece: uma falha que a Microsoft recusa reconhecer como tal não terá, por definição, uma nota de correção que permita verificar se e quando foi resolvida. Os utilizadores e administradores ficam sem informação suficiente para avaliar o risco atual das suas configurações.

A recomendação da CpC é clara: não confiar na gestão de passwords integrada em qualquer browser como camada principal de proteção de credenciais.

Referências

Repositório da prova de conceito: github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper Artigo SANS ISC (Rob VandenBrink, 4 de maio de 2026): isc.sans.edu/diary/32954 Discussão original no X: @L1v1ng0ffTh3L4N (4–5 de maio de 2026) Versão afetada confirmada pelo investigador original: Microsoft Edge 147.0.3912.98 e anteriores Sistemas testados pela CpC: Windows 11 com Edge 147.0.3912.98 (confirmado); Windows Server 2022 via RDP com Edge 147.0.3912.98 (não reproduzido); macOS com Edge 147.0.3912.98 (não aplicável)