이전에 보안 연구원인 Tom Jøran Sønstebyseter Rønning은 Microsoft의 Microsoft Edge 브라우저가 실행될 때 저장된 모든 계정 비밀번호를 일반 텍스트로 직접 메모리 프로세스에 로드할 것이라고 공개적으로 밝혔습니다. Microsoft는 이를 취약점으로 간주하지 않으며 따라서 보안 연구원에게 취약점 보상을 제공할 계획이 없기 때문에 연구원이 이 문제를 직접 공개했습니다.
구글이 이전에도 비슷한 실수를 저질렀기 때문에 이 사건은 실제로 놀라운 일이 아닙니다. 구글과 마이크로소프트 모두 공격자가 기기를 제어할 수 있게 되었을 때 다른 보안 방어 수단은 실패했기 때문에 악성 코드 자체를 통해 메모리에 저장된 계정 비밀번호를 읽는 것은 보안 모델의 범위에 속하지 않는다고 보고 있습니다.
그러나 Microsoft는 여전히 개선을 준비하고 있습니다.
Microsoft 팀은 연구원들이 공개한 문제를 바탕으로 Microsoft Edge 브라우저가 시작 시 암호가 메모리에 로드되지 않도록 개선될 것이라고 블로그를 통해 밝혔습니다. 이 심층 방어 조치는 모든 버전(모든 채널의 베타 버전, 공식 버전, 기업용 확장 안정 버전 포함)에 적용됩니다.
이 개선 사항은 현재 Microsoft에서 우선적으로 홍보하고 있으므로 출시된 Microsoft Edge Canary 버전에서는 브라우저가 시작된 후 더 이상 암호가 메모리에 로드되지 않습니다. Microsoft Edge v148.0의 공식 버전이 출시된 후 사용자는 이 업데이트를 정상적으로 설치하여 향상된 보안 방어 조치를 얻을 수 있습니다.
Microsoft가 처음에 이것이 취약점이 아니라고 생각한 이유:
Google과 Microsoft의 핵심 고려 사항은 기기 자체의 보안이 가장 중요하다는 것입니다. 이 경우 연구원이 공개한 문제는 소프트웨어가 관리자 권한을 획득하고 로컬에서 실행하여 메모리의 데이터를 읽어야 한다는 것입니다. 이 악용 방법에는 다양한 활용 시나리오가 있습니다. 1. 악성 코드는 이미 실행할 관리자 권한을 획득할 수 있습니다. 2. 공유 장치에서 관리자 계정은 계정 외의 다른 데이터를 읽을 수 있습니다.
마이크로소프트는 연구원들이 보고한 시나리오는 모두 공격자가 장치를 제어할 수 있고 공격자가 안전하지 않은 소프트웨어를 로컬에서 실행할 수 있다고 가정하고 있으며 이는 브라우저나 애플리케이션의 방어 기능으로 처리할 수 없다고 밝혔습니다. Microsoft의 암호 관리자 위협 모델에는 상승된 권한으로 실행되는 물리적 로컬 공격 및 맬웨어가 고려되지 않음이 명시되어 있습니다. 마이크로소프트 역시 해당 활용 시나리오에서는 공격자가 브라우저를 통해 직접 데이터를 획득하는 것을 허용하지 않기 때문에 브라우저 입장에서는 문제가 없다고 강조했다.
마이크로소프트는 연구원들에게 보너스를 지급하지 않는 문제에 대해서도 설명했다.
Microsoft가 취약점 보고서를 무시하고 이 보고서에 대한 취약점 현상금을 제공하지 않는 이유는 Microsoft가 브라우저 보안 측면에서 Google Chromium 오픈 소스 프로젝트와 동일한 보안 표준을 채택하기 때문입니다. 따라서 이는 유효하지 않은 취약점 신고로 간주되므로 당연히 연구자에게 취약점 포상금을 지급하지 않습니다.
그러나 예를 들어 취약성 보고서와 연구원 간의 의사소통 프로세스에 여전히 문제가 있기 때문에 이 보안 결함 자체는 실제로 개선 사항으로 분류될 수 있으므로 Microsoft는 연구원 보고서를 처리하는 방식을 재검토할 예정이며, 이후 Microsoft는 이와 관련하여 얻은 교훈과 지속적인 프로세스 개선 사항을 발표할 것입니다.