Se ha emitido una alerta de seguridad operativa para entornos corporativos tras confirmarse que el navegador Microsoft Edge descifra y almacena la totalidad de su bóveda de contraseñas en texto plano dentro de la memoria de procesos (process memory) desde el instante en que se abre la aplicación. Este comportamiento, descubierto recientemente por investigadores de seguridad, expone un vector altamente lucrativo para el robo de credenciales locales. Microsoft ha declarado que este funcionamiento es “por diseño”, lo que implica que no se asignará un CVE ni se liberará un parche tradicional, transfiriendo la responsabilidad de mitigación a los administradores de TI y equipos SOC.
Anatomía del Riesgo Arquitectónico
El riesgo no se deriva de una vulnerabilidad de red, sino de una decisión arquitectónica sobre cómo el navegador maneja el almacenamiento de secretos en la memoria viva del sistema:
- Descifrado Total y Preventivo: A diferencia de Google Chrome (que implementó el Cifrado Vinculado a la Aplicación [ABE] para descifrar credenciales estrictamente bajo demanda cuando se visita un sitio web), Edge carga todas las credenciales de la bóveda en la memoria RAM de forma inmediata al ejecutarse, sin importar si el usuario navega a los sitios correspondientes.
- Ausencia de Aislamiento en RAM: Las contraseñas permanecen legibles en texto claro durante todo el tiempo que el proceso de Edge se mantenga activo.
- Bypass de Controles Visuales: Si bien la interfaz gráfica de Edge requiere autenticación (como Windows Hello) para revelar visualmente una contraseña, en el backend de la memoria del sistema operativo, estos datos ya están descifrados y desprotegidos.
Impacto (Exposición a Infostealers y Entornos Multiusuario)
Esta arquitectura convierte a los endpoints corporativos en blancos fáciles una vez que se produce una brecha inicial:
- Volcado de Memoria Silencioso: Un código malicioso de robo de información (Infostealer) o un atacante con acceso local a la máquina puede ejecutar un simple volcado de la memoria del proceso (msedge.exe) y extraer todas las credenciales corporativas y personales del usuario de una sola vez, evadiendo defensas tradicionales basadas en el monitoreo de archivos.
- Riesgo Catastrófico en Servidores Compartidos: En arquitecturas de Escritorio Remoto (RDS) o servidores de terminales (Terminal Servers), un actor de amenazas que logre una escalada de privilegios puede extraer la memoria de los procesos de Edge de todos los usuarios con sesiones activas simultáneamente, logrando un compromiso masivo de cuentas sin alertar a los sistemas de Prevención de Pérdida de Datos (DLP).
Recomendaciones y Mitigación
Dado que no existirá una actualización correctiva del fabricante, la protección debe implementarse mediante políticas de gobierno de TI:
- Bloqueo por Directivas de Grupo (GPO / MDM): Deshabilitar de forma inmediata y obligatoria la función de guardado de contraseñas nativa del navegador. Configurar la política corporativa PasswordManagerEnabled en estado Desactivado (False) a través de Active Directory o Intune.
- Transición a Bóvedas Empresariales (PAM): Obligar la migración de todas las credenciales de los usuarios hacia Gestores de Contraseñas Empresariales que utilicen arquitecturas de confianza cero (Zero-Knowledge), los cuales solo descifran datos en la memoria en entornos fuertemente aislados y bajo estricta demanda.
- Auditoría y Limpieza Local: Desplegar scripts corporativos para eliminar las contraseñas que ya se encuentran guardadas localmente en los perfiles de Edge de las estaciones de trabajo, eliminando la carga de datos residuales en los próximos inicios de sesión.
- Reglas de Detección en EDR: Fortalecer las reglas del Endpoint Detection and Response (EDR) para alertar sobre cualquier intento de lectura anómala, inyección o volcado de memoria (utilizando herramientas como Procdump o Mimikatz) dirigido específicamente hacia los procesos de Microsoft Edge.
