Edge sotto accusa: vulnerabilità lascia password utenti esposte

Una vulnerabilità individuata nel browser Microsoft Edge riporta l’attenzione su un aspetto spesso sottovalutato: la gestione locale delle credenziali.

Un ricercatore di sicurezza che opera sotto lo pseudonimo L1v1ng0ffTh3L4N ha pubblicato su X la scoperta di un comportamento anomalo che consente di visualizzare password salvate in chiaro, senza i meccanismi di protezione normalmente previsti. Il caso assume rilevanza perché riguarda uno dei browser più diffusi, integrato nativamente in Windows e utilizzato tanto in ambito domestico quanto aziendale.

La gestione delle password nei browser moderni si basa su sistemi di cifratura legati all’account utente e al sistema operativo. A partire dagli anni 2010, con l’introduzione di password manager integrati, vendor come Microsoft e Google hanno adottato tecniche basate su DPAPI per cifrare le credenziali utilizzando chiavi derivate dal profilo utente.

In condizioni normali, l’accesso alle password richiede autenticazione locale o privilegi elevati. Il comportamento descritto dal ricercatore si discosta da questo schema in modo significativo e con implicazioni concrete per milioni di utenti.

Edge e la gestione delle password: cosa è successo?

Il dato più critico emerso dalla ricerca riguarda la portata del fenomeno: Microsoft Edge carica in memoria in formato cleartext tutte le password salvate nel suo password manager, anche quando non vengono utilizzate.

Non si tratta di un’esposizione limitata alla fase di autofill o all’inserimento attivo delle credenziali, ma di un comportamento sistematico e continuo del browser. A rendere la situazione più grave è il fatto che l’estrazione può avvenire da qualsiasi processo non elevato in esecuzione sulla stessa macchina, senza necessità di accesso fisico al dispositivo: è sufficiente un accesso remoto o la presenza di un software malevolo già installato.

Secondo la documentazione tecnica di Microsoft stessa, i meccanismi basati su DPAPI non difendono da attacchi locali eseguiti con i privilegi dell’utente corrente: se un attaccante ottiene accesso alla sessione, può sfruttare i meccanismi legittimi del sistema per recuperare informazioni, e la presenza di password già in chiaro elimina anche la necessità di interagire con API protette. Il rischio principale si amplifica in contesti condivisi o compromessi: postazioni aziendali, dispositivi incustoditi o sistemi già infettati da malware, dove la disponibilità immediata di tutte le credenziali in chiaro accelera notevolmente operazioni di escalation e può facilitare movimenti laterali all’interno della rete.

Cosa fare nell’attesa di una patch

In attesa di aggiornamenti correttivi, è possibile ridurre il rischio con alcune misure concrete.

L’uso di password manager dedicati, separati dal browser e basati su cifratura end-to-end con autenticazione multifattore, rappresenta la soluzione più robusta. È consigliabile limitare l’accesso fisico ai dispositivi, operare con account a privilegi minimi e abilitare il blocco automatico della sessione.

In ambienti aziendali, policy più restrittive possono impedire il salvataggio delle credenziali direttamente nei browser. Mantenere Edge aggiornato rimane in ogni caso una misura fondamentale, poiché vulnerabilità di questo tipo vengono spesso risolte attraverso patch distribuite dai vendor. Nel medio periodo, l’evoluzione verso sistemi di autenticazione senza password, come passkey e autenticazione biometrica, potrebbe ridurre strutturalmente questi rischi, anche se la transizione richiederà tempo e coesistenza con i metodi tradizionali.

Il caso sottolinea un punto chiave: anche meccanismi considerati sicuri possono presentare debolezze operative. Analizzare il comportamento reale delle applicazioni, oltre alle specifiche teoriche, resta essenziale per valutare il livello effettivo di protezione dei dati.