Ich kippe mal ein paar Infosplitter hier im Blog zu Daten-Fails in Software ein, die mir die Tage so untergekommen sind. Vor einigen Tagen hatte ich erwähnt, dass der Firefox 150.x Passwörter in Kennwortfeldern beim Ausdrucken im Klartext ausgibt. Die Nacht ist mir die Information untergekommen, dass der Microsoft Edge-Browser jegliche eingegebenen Passwörter im Klartext im Speicher ablegt. Und bei RDP-Verbindungen bleiben Fragmente des Remote-Desktop im Speicher, aus denen man den Bildschirm rekonstruieren kann.
Hintergrund des Artikels ist auch, dass einige Leser gemäß Kommentaren zu diesem Artikel glauben, dass ich "a bisserl zu pessimistisch" in meinen Beiträgen sei. Wenn ich die täglichen Sicherheitssplitter so sehe (weniger als 80 % schaffen es in den Blog), frage ich mich, wo ich den Optimismus eigentlich hernehmen soll. Zudem habe ich gestern mit halbem Ohr und einem Auge die Hirschhausen-Doku Deepfake-Betrug, der mit Menschenleben spielt verfolgt. Mit dabei ein Sicherheitsexperte, der zeigt, was Datenbroker über jeden Internetteilnehmer wissen und zusammen führen. Mein Fazit: Wir haben längst die Kontrolle über unser digitales Leben verloren. Man kann nur noch versuchen, seinen Fußabdruck zu minimieren. Hier die oben versprochenen Infos zu den letzten Daten-Fails.
Firefox als "Passwort-Drucker"
Im April 2026 haben die Mozilla-Entwickler den Firefox Entwicklungszweig der Version 150 produktiv auf die Leute losgelassen. Ein Leser informierte mich, dass in der Version 150.0 der Firefox-Browser Formulare mit Passworteingabefeldern beim Ausdrucken sauber mit den eventuell eingetippten Kennwörtern im Klartext ausgibt. Der Bug ist auch noch im Firefox 150.0.1 vorhanden (siehe Firefox 150.0.1 freigegeben – FF 150 druckt Passwörter im Klartext).
Der Edge speichert Kennwörter als Klartext im Speicher
Die Nacht bin ich im Kontext einer "senilen Bettflucht" gleich mit dem nächsten Fail konfrontiert worden. Denn als ich nach der Uhrzeit schauen wollte, sprang mich doch gleich der nachfolgende Tweet auf X mit einem Edge Opsie an (ein Leser hat mich heute früh hier auch drauf hingewiesen, aber ich war beim Sport, daher ein Nachtrag).
Tom Jøran Sønstebyseter Rønning lässt in obigem Tweet ein Video mit der Aufnahme des Fensters einer Windows Eingabeaufforderung ablaufen. Dort sieht man, wie er einen "Passwort-Dumper" laufen lässt. Dieses Tool kann auch dem Speicher des msedge.exe-Prozesses Passwörter direkt im Klartext extrahieren. Die Botschaft des Tweets:
Microsoft Edge lädt alle Ihre gespeicherten Passwörter im Klartext in den Arbeitsspeicher – auch wenn Sie sie gerade nicht verwenden.
Edge verhält sich krude bzw. Voodoo-like
In Folge-Tweets erklärt der Sicherheitsforscher, dass, wenn Nutzer Passwörter im Microsoft Edge speichert, der Browser beim Start alle Anmeldedaten entschlüsselt und diese im Klartext im Prozessspeicher vorhält. Dies geschieht auch dann, wenn der Benutzer niemals eine Website besucht, deren Anmeldedaten im Edge bekannt sind, aber aktuell in einer Sitzung nicht verwendet werden.
A bisserl lustig: Gleichzeitig verlangt der Edge-Browser, Microsoft hat ja eine Future Sicherheitsinitiative, eine erneute Authentifizierung, bevor dieselben Passwörter in der Benutzeroberfläche des Passwort-Managers angezeigt werden – obwohl der Browserprozess sie bereits alle im Klartext vorliegt, schreibt der Sicherheitsforscher.
Einer meiner unbekannten kreolischen Vorfahren meinte immer "Voodoo hilft Jungchen, musste nur feste dran glauben". Ich habe sogar eine Puppe, da steht Microslop drauf, wo ich Nadeln rein gesteckt und einen Spruch aufgesagt haben. Aber ich glaube, die kreolischen Vorfahren haben gelogen, bisher hat Voodoo noch nie bei Sicherheitssachen geholfen.
Wie halten es andere Chromium-Browser?
Ich hab mich natürlich spontan gefragt: Zieht der Ungoogled Chromium dir auch die Passwörter im Klartext unter dem Hintern weg und schreibt diese in den Arbeitsspeicher? Tom Jøran Sønstebyseter Rønning meint dazu: "Edge ist der einzige Chromium-basierte Browser, den ich getestet habe, der sich so verhält". Warum? Der Edge verwendet den Microsoft Passwort Manager zur Speicherung von Passwörtern.
Im Gegensatz dazu verwendet Chrome ein Design, das es Angreifern erheblich erschwert, gespeicherte Passwörter durch einfaches Auslesen des Prozessspeichers zu extrahieren, merkt der Experte an. Der Chrome entschlüsselt Anmeldedaten nur bei Bedarf, anstatt alle Passwörter ständig im Speicher zu halten. App-Bound Encryption (ABE) füge eine weitere Sicherheitsebene hinzu, heißt es. Bei ABE wird die Entschlüsselung an einen authentifizierten Chrome-Prozess gebunden und so verhindert, dass andere Prozesse die Verschlüsselungsschlüssel von Chrome wiederverwenden.
Aufgrund dieser Sicherheitsmaßnahmen werden Passwörter im Chrome nur kurzzeitig während der automatischen Ausfüllfunktion oder beim Anzeigen durch den Benutzer im Klartext angezeigt. Dadurch wird ein umfassendes Auslesen des Arbeitsspeichers deutlich weniger effektiv.
Beim Terminalserver "brennt die Hütte"
Das Risiko, Passwörter im Klartext im Arbeitsspeicher zu belassen, wird in gemeinsam genutzten Umgebungen besonders deutlich. Der Sicherheitsexperte schreibt dazu: "Erlangt ein Angreifer Administratorrechte auf einem Terminalserver, kann er auf den Arbeitspeicher aller angemeldeten Benutzerprozesse zugreifen."
In obigem Video hat hat er das Szenario nachgestellt, dass der Angreifer ein Benutzerkonto mit Administratorrechten kompromittiert. Danach kann er die gespeicherten Anmeldedaten von zwei anderen angemeldeten (oder sogar nicht mehr verbundenen) Benutzern einsehen, wenn bei diesen der Microsoft Edge läuft.
Microsoft: Edge-Verhalten "by design"
Tom Jøran Sønstebyseter Rønning hat die obigen Erkenntnisse an Microsoft gemeldet. Die offizielle Antwort lautete, dass dieses Verhalten "beabsichtigt" sei (works as designed).
Der Sicherheitsforscher hat Microsoft mitgeteilt, dass er diese Erkenntnisse im Rahmen einer verantwortungsvollen Offenlegung veröffentlichen würde, damit Benutzer und Organisationen fundierte Entscheidungen über die Verwaltung ihrer Anmeldedaten treffen können.
Am Mittwoch (29. April 2026) hat er die Erkenntnisse auf der BigBiteOfTech, ausgerichtet von Palo Alto Networks Norwegen veröffentlicht. Zudem hat er das zwischenzeitlich auf GitHub veröffentlichte kleine Tool EdgeSavedPasswordsDumper als Proof of Concept (PoC) vorgestellt. Das ist das oben im Video gezeigte Tool zum Extrahieren der Passwörter aus dem Arbeitsspeicher. Damit können Nutzer leicht erkennen, dass die Passwörter im Klartext im Speicher abgelegt sind.
Windows RDP und gespeicherte Desktop-Fragmente
Ende April 2026 ist mir dann noch folgender Tweet untergekommen, der den nächsten "Opsi" anspricht. Bei Remote Desktop-Sitzungen speichert Windows stillschweigend Fragmente des Desktop.
Angreifer können diese Fragmente abgreifen und sie mithilfe von zwei kostenlosen Tools und in etwa zehn Minuten zu lesbaren Screenshots zusammensetzen. Dazu sind keine besonderen Berechtigungen erforderlich. Hab das Thema aus Zeitmangel und wegen 1. Mai bisher nicht im Blog aufgegriffen. Sicherheitsexperten von scythe haben mehr Details im Blog-Beitrag What Your RDP Sessions Leave Behind veröffentlicht.
Nur "zum auf der Zunge zergehen lassen": Laut dem "Attack Surface Threat Report" von Palo Alto Networks entfielen 32 % aller Sicherheitsprobleme auf der globalen Angriffsfläche von Unternehmen auf RDP. Cyberangreifer-Gruppen wie BianLian, Medusa und Scattered Spider nutzten den RDP-Zugang im Jahr 2025 als primären Einstiegspunkt. Sobald sie sich im System befinden, steht ihnen damit ein kostenloses Tool zur Rekonstruktion von Desktop-Inhalte zur Verfügung, von dessen Existenz die meisten Verteidiger nicht einmal wissen. Und in Zeiten von KI dürfte es für Angreifer ein Leichtes sein, die oben skizzierten Daten aus einem kompromittierten System für weitere Zwecke auszuweiten.
Die Frage, die mich nun nur noch bewegt: Welches Zeug muss ich mir einwerfen, um noch optimistisch gestimmt unterwegs zu sein?
MVP: 2013 – 2016
Firefox ist da auch nicht wirklich besser.
In dem Szenario "ich bin als Angreifer auf einem Terminalserver und habe Adminrechte" kann ich einfach die Firefox-Profile der Anwender kopieren und in einem eigenen Firefox öffnen. Dann habe ich auch Zugriff auf die Kennwörter.
Dagegen hilft das setzen eines Master-Kennworts – aber das ist im Default nicht aktiv
Das Beispiel fand ich in der Tat auch etwas schwach. Wenn man mit administrativen Rechten auf einem Server unterwegs ist, dann kann man grundsätzlich -auf welche Art auch immer- alles an Daten abgreifen, was man abgreifen möchte.
PS: Die Datev macht heute auch mal wieder Großstörungstag. ;)
Kennst du einen Eintrag, wie man das Masterpasswort in FF per GPO erzwingen kann? Ich bin bisher nur auf einen Registry-Key gestoßen, das geht natürlich auch per GPO, aber ein eigener Eintrag im FF-ADMX wäre schöner!
Die Einstellung "Masterpasswort" ist in den FF-ADMX vorhanden. Wir haben die im User-Kontext aktiviert.
Also gegen das Problem im Firefox lieferst du den Schutz gleich mit. Für Edge gibt es keinen.
Und/oder jemand klaut in Zukunft einfach die Recall Daten, um Recall wurde es ja auch medial sehr ruhig, zu ruhig…
Man braucht dazu keinen "Passwort-Dumper", es reicht, ich habs vorhin probiert, wenn man im Taskmanager ein Speicherabbild der Edge-Prozesse als Datei speichert. Heise schreibt das auch so. Es geht also mit Bordmitteln, und wenn man das Speicherabbild vom Edge im eigenen Nutzerkontext laufend speichern will, braucht man dazu nicht mal Adminrechte. Dann kann man die mit einem Hex-Editor oder notfalls Notepad++ einfach nur zu durchsuchen, um auf die Klartextpasswörter zu stoßen. Man kann die Benutztung des PW-Managers zum Glück per Gruppenrichtline abschalten, hat wahrscheinlich bisher aber kaun einer gemacht.
Regarding RDP problem, just disable "Persistent bitmap caching".
https://imgur.com/pj6eiL2
Thanks
"Welches Zeug muss ich mir einwerfen, um noch optimistisch gestimmt unterwegs zu sein?"
Man muss das nicht gleich so pessimistisch sehen. Man kann aus solchen Entdeckungen lernen und einfache Gegenmaßnahmen einleiten, z.B. den Passwort-Manager in Edge per Richtlinie sperren, per Applocker Passwort-Dumper oder RDP-Screen-Dumper sperren, so dass sie nicht ausgeführt werden. Und irgendwo muss ja der RDP-Client, auch der aus der Opensource-Szene, das komprimierte/optimierte übertragene Bild wieder zusammen setzen, um es anzuzeigen und notfalls macht der Angreifer einfach ständig Screenshots… Mit Betriebssystenalternativen anderer Hersteller oder aus der Community kommt man auch nicht besser weiter, auch die Leute wissen es teils nicht besser, machen auch Programmierfehler, denken nicht an jedes Szenario, oder ein 3-Buchstaben-Dienst schleust das geschickt absichtlich ein, usw. und das wird dann auch im Quellcode auch mal 10 Jahre übersehen, oder es sucht am Ende doch niemand danach, obwohl man es könnte.
Sorry das mit RDP ist ganz alter Hut und bekannt. 2022 habe ich bereits davon berichtet und mir eigene Pentesting Tools zu programmiert, die mir aus den Kacheln kleine Bilder-Diaschows erzeugten.
https://blog.jakobs.systems/micro/20220819-rdp-cache-reste/
Das ist mit ein Grund, warum bei mir keine Windows-Clients für einen RDP/RDS Zugriff zum Einsatz kommen sondern immer entweder via Linux Thin- oder Fatclients oder via Webbrowser via Guacamole. Das AD besteht nur noch aus Servern. die Clients sind davon abgekoppelt.