AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Consejos

Microsoft refuerza la seguridad de Edge: dejará de cargar contraseñas en texto claro en memoria

admin

1. Introducción

Microsoft ha anunciado una importante actualización de seguridad en su navegador Edge, destinada a proteger las credenciales de los usuarios frente a potenciales ataques de extracción de memoria. El cambio se produce tras la polémica generada por el hecho de que Edge almacenaba contraseñas en texto claro en la memoria de proceso durante el arranque, una práctica que hasta ahora la compañía defendía como “por diseño”. Esta revisión constituye un paso adelante para mitigar riesgos asociados a técnicas de post-explotación y acceso no autorizado a credenciales, una de las principales preocupaciones para CISOs, analistas SOC y pentesters.

2. Contexto del Incidente

El debate se inició cuando varios investigadores de seguridad descubrieron que Edge, en sus versiones recientes, cargaba todas las contraseñas guardadas en la memoria de proceso en texto claro durante el inicio del navegador. Este comportamiento, documentado en plataformas como GitHub y foros especializados, implica que un actor con acceso al sistema (local o remoto, tras una explotación previa) podría volcar la memoria del proceso y extraer contraseñas sin necesidad de privilegios elevados ni técnicas avanzadas de descifrado.

Microsoft, en un primer momento, argumentó que este diseño respondía a la necesidad de facilitar la funcionalidad de autocompletar y sincronización. Sin embargo, la presión de la comunidad y la evidencia de que otros navegadores como Chrome y Firefox no siguen este patrón, llevó finalmente a la compañía a reconsiderar su postura.

3. Detalles Técnicos

La vulnerabilidad no ha sido asignada a un CVE específico, dado que Microsoft no la considera una vulnerabilidad tradicional, sino un riesgo inherente a su arquitectura original. Sin embargo, el vector de ataque es claro: tras acceder a un sistema (ya sea mediante malware, ataque de phishing, escalada de privilegios o aprovechando una vulnerabilidad previa), un atacante puede utilizar herramientas como Mimikatz, ProcDump o incluso scripts de PowerShell para extraer la memoria del proceso msedge.exe.

Este tipo de ataque se alinea con las técnicas T1003 (Credential Dumping) y T1555 (Credentials from Password Stores) del framework MITRE ATT&CK. Los indicadores de compromiso (IoC) relevantes incluyen anomalías en el acceso a la memoria de procesos Edge, ejecución de herramientas de volcado de memoria y transferencias no autorizadas de ficheros .dmp.

En entornos corporativos, la extracción de credenciales puede facilitar movimientos laterales, acceso a aplicaciones federadas (como Microsoft 365) y la exfiltración de datos sensibles.

4. Impacto y Riesgos

El riesgo más inmediato es la posibilidad de que un atacante con acceso al endpoint (por ejemplo, a través de un malware o RDP comprometido) pueda extraer todas las contraseñas almacenadas por el usuario en Edge, incluyendo credenciales corporativas, bancarias y personales. Este ataque es especialmente crítico en organizaciones donde Edge se utiliza para acceder a aplicaciones críticas o donde el Single Sign-On (SSO) está integrado con servicios clave.

Según estadísticas de Statcounter, Edge representa en torno al 11% del mercado de navegadores de escritorio a nivel global, con especial presencia en entornos empresariales por su integración con Microsoft 365 y políticas de gestión centralizada. El impacto potencial, por tanto, es elevado, especialmente en sectores regulados (banca, administración pública, sanidad) donde la exposición de credenciales podría suponer un incumplimiento del GDPR y la inminente directiva NIS2, con sanciones de hasta el 2% del volumen de negocio global anual.

5. Medidas de Mitigación y Recomendaciones

Microsoft ha comenzado a desplegar una actualización progresiva que modifica el comportamiento de Edge, de modo que las contraseñas guardadas ya no se cargan en texto claro en la memoria de proceso al inicio. Se recomienda a los responsables de seguridad:

– Asegurar la actualización inmediata de Edge a la versión más reciente en todos los endpoints.
– Revisar las políticas de gestión de contraseñas: fomentar el uso de gestores dedicados y deshabilitar el almacenamiento de contraseñas del navegador si no es imprescindible.
– Monitorizar el uso de herramientas de volcado de memoria y establecer alertas ante actividad sospechosa en endpoints.
– Implementar EDRs avanzados que detecten técnicas de credential dumping (MITRE ATT&CK T1003).
– Concienciar a los usuarios sobre los riesgos de almacenar contraseñas en navegadores y promover el uso de MFA.

6. Opinión de Expertos

Especialistas en seguridad como Kevin Beaumont y el equipo de la Offensive Security Research destacan que la decisión de Microsoft corrige una debilidad largamente señalada por la comunidad. “No se trata solo de una cuestión técnica, sino de una responsabilidad hacia los usuarios corporativos que confían en el ecosistema Microsoft para proteger sus activos más críticos”, afirma Beaumont.

Desde el sector del pentesting, se subraya que esta mejora dificultará la obtención de credenciales tras una intrusión, obligando a los atacantes a buscar vectores alternativos y elevando el coste de los ataques post-explotación.

7. Implicaciones para Empresas y Usuarios

Para las empresas, la actualización de Edge reduce significativamente la superficie de exposición frente a técnicas de credential harvesting. Sin embargo, este cambio no elimina el riesgo de ataques que exploten credenciales ya extraídas ni sustituye la necesidad de una gestión proactiva de identidades y accesos. Los responsables de seguridad deberán revisar sus procedimientos de respuesta ante incidentes y reforzar la formación en buenas prácticas de seguridad.

Para los usuarios, especialmente aquellos que reutilizan contraseñas o almacenan credenciales sensibles en el navegador, es una llamada de atención sobre los riesgos inherentes a esta práctica y la conveniencia de adoptar gestores de contraseñas independientes y autenticación multifactor.

8. Conclusiones

La decisión de Microsoft de dejar de cargar contraseñas en texto claro en la memoria de Edge representa un avance en la protección de los datos de los usuarios y responde a una demanda histórica de la comunidad profesional de ciberseguridad. Si bien no elimina todos los vectores de ataque relacionados con la gestión de credenciales, sí dificulta de forma significativa los ataques de post-explotación y el movimiento lateral.

El caso subraya la importancia de la presión de la comunidad y la transparencia en el desarrollo de software, así como la necesidad de mantener una postura proactiva ante los cambios en la superficie de ataque de los sistemas empresariales.

(Fuente: www.bleepingcomputer.com)