В начале апреля новый браузер Microsoft Edge, основанный на исходных кодах проекта Chromium, занял второе место по популярности, обойдя FireFox. В новой версии Edge разработчики Microsoft не просто проделали работу над ошибками, но использовали совершенно другую основу. Изменилось всё: возможности настройки и кастомизации, совместимость с операционными системами и способ отображения веб-страниц. Особый интерес для экспертов-криминалистов представляет новый способ хранения и защиты паролей, которые сохраняют в браузере пользователи.

Microsoft Edge Chromium

Официальная дата выхода Microsoft Edge Chromium — 15 января 2020 года. Новая версия Microsoft Edge основана на проекте браузера с открытым исходным кодом Chromium, который поддерживается как независимыми разработчиками, так и такими компаниями, как Google. В отличие от классического браузера Edge, представленного в Windows 10 и основанного на универсальной платформе Windows UWP, новый Microsoft Edge Chromium совместим со всеми актуальными версиями Windows и macOS. Старый Edge переименован в Edge Legacy; установка нового Edge Chromium на ПК с Windows 10 автоматически блокирует старый Edge.

Edge Chromium стремительно набрал популярность. Уже в апреле 2020 новый Edge занял второе место среди браузеров для настольных компьютеров, опередив Mozilla Firefox и Opera. С учётом того, что и Edge, и Google Chrome основаны на одном и том же проекте Chromium, можно сказать, что Chromium лидирует с большим отрывом.

Использование проекта Chromium позволило Microsoft предложить пользователям простой и лёгкий способ перехода с браузера Chrome на новый Edge. Буквально несколько нажатий, и все данные из браузера Chrome переносятся в браузер от Microsoft. Сюда входят закладки, история посещений и даже открытые вкладки и окна. Разумеется, не обошли стороной и пароли, которые также переносятся из Chrome.

Chromium Edge и Windows Data Protection API (DPAPI)

Для хранения ключей и паролей браузеры Microsoft Internet Explorer и «старый» Edge, переименованный в Edge Legacy, используют механизм Windows Credential Manager. Windows Credential Manager, в свою очередь, защищает данные посредством Microsoft Data Protection API (DPAPI), появившимся ещё в Windows 2000. В настоящее время в Windows 10 используется шифрование алгоритмом AES-256. Сохранённые в «классическом» Edge Legacy пароли можно просмотреть (и удалить) в апплете Web Credentials даже после того, как сам браузер был удалён из системы.

С переходом браузера на исходный код Chromium, Microsoft решила использовать стандартный для Chromium менеджер паролей вместо использования Windows Credential Manager. Соответственно, новый Edge Chromium больше не использует Microsoft DPAPI для защиты сохранённых паролей. Вместо этого пароли защищены стандартным алгоритмом AES-256 GCM, в то время как DPAPI используется только для защиты ключа шифрования от встроенного хранилища. Интересно, что другие веб-браузеры, основанные на проекте Chromium (сюда входят Google Chrome и Opera), используют аналогичную схему шифрования. Это включает в себя последние версии браузеров.

By default, Edge Chromium does not protect the encrypted password database with a master password. Instead, Microsoft uses the Data Protection API (DPAPI) to protect the encryption key with the user’s Windows credentials. In turn, DPAPI uses AES-256 to encrypt the encryption key.

Edge Chromium не использует концепцию мастер-пароля для защиты хранилища паролей. Вместо этого Microsoft использует API защиты данных (DPAPI) для защиты ключа шифрования посредством учётных данных пользователя Windows. В свою очередь, DPAPI использует AES-256 для шифрования ключа шифрования. Таким образом, для извлечения всех паролей пользователя достаточно узнать логин и пароль пользователя или использовать текущую авторизованную сессию. Именно такой способ мы реализовали в Elcomsoft Internet Password Breaker, и именно им воспользовались разработчики браузера Edge Chromium для того, чтобы мгновенно импортировать сохранённые пароли из браузера Google Chrome.

Использование Elcomsoft Internet Password Breaker для извлечения паролей из Edge Chromium

Механизм доступа к паролям в Edge Chromium похож на тот, который используется в последних версиях Google Chrome. Соответственно, для извлечения паролей из нового Edge необходимо пройти аутентификацию в учётной записи Windows пользователя (с помощью имени пользователя и пароля, данных учётной записи Microsoft, PIN-кода или подсистемы Windows Hello). Разумеется, можно использовать и уже аутентифицированную сессию. А вот просто извлечь диск из компьютера или снять образ файловой системы недостаточно: хранилище будет зашифровано, и расшифровать его без знания пароля пользователя от учётной записи Windows не представляется возможным.

Для извлечения паролей из Edge Chromium проделайте следующие шаги.

1. Запустите Elcomsoft Internet Password Breaker.
2. Выберитепунктменю Web Browsers – Edge Chromium.
3. Через несколько секунд будет выведен список паролей.

Кроме того, вы можете воспользоваться режимом экспорта паролей в файл (кнопка Export), который создаст создать отфильтрованный список всех паролей пользователя. Список паролей в дальнейшем можно использовать в качестве словаря для создания интеллектуальных атак в Elcomsoft Distributed Password Recovery.

Заключение

Браузер Edge Chromium – не эволюция «старого» Edge, а совершенно новый браузер. Новый механизм защиты сохраняемых пользователем паролей, сильно отличается от привычного по «старому» Edge и Internet Explorer хранилища DPAPI и диспетчера учётных данных Windows. Новое хранилище паролей предлагает пользователям тот же уровень защиты, что и старый Edge. В то же время извлечь пароли из нового хранилища проще, чем из диспетчера учётных данных Windows благодаря наличию хорошо документированных исходных кодов Chromium – впрочем, лишь в том случае, если у эксперта есть доступ к активной сессии пользователя или его логин и пароль. Извлечь пароли из образа файловой системы или с жёсткого диска, извлечённого из компьютера, не представляется возможным.