Cosa fa Microsoft Edge con le password salvate quando viene avviato, secondo la scoperta del ricercatore Tom Jøran Sønstebyseter Rønning?

Le decripta e le carica in chiaro nella memoria RAM per tutta la sessione, anche se l'utente non visita alcun sito. L'articolo spiega che Edge decripta l'intero vault delle password all'avvio e lo mantiene in chiaro in RAM per l'intera sessione, indipendentemente dai siti visitati dall'utente.

Qual è stata la risposta ufficiale di Microsoft alla segnalazione del ricercatore?

La dichiarazione che il comportamento è 'by design' e non considerato una vulnerabilità. Microsoft ha risposto che si tratta di una scelta progettuale consapevole ('by design') e che gli attacchi locali con privilegi amministrativi sono al di fuori del modello di minaccia del browser.

In quale contesto aziendale il problema delle password in chiaro in Edge è particolarmente critico?

Ambienti con sessioni RDS, VDI o terminal server condivisi tra più utenti. L'articolo sottolinea che il rischio è elevatissimo per PMI e ambienti enterprise con sessioni Remote Desktop Services, VDI o terminal server condivisi, dove più utenti possono accedere alla stessa macchina.

Quale strategia di mitigazione viene indicata nell'articolo come la più efficace per proteggersi da questo rischio?

Adottare un password manager dedicato e abilitare l'autenticazione a due fattori ovunque possibile. L'articolo indica come mitigazione principale l'adozione di un password manager dedicato (che gestisce le credenziali fuori dal browser) e l'abilitazione della 2FA, insieme all'hardening delle sessioni remote.

Perché la posizione di Microsoft — secondo cui 'gli attacchi locali sono al di fuori del modello di minaccia' — è stata criticata dagli esperti di sicurezza come David Shipley?

Perché ignora scenari reali e frequenti come ambienti multi-utente e account admin compromessi ma non ancora rilevati. David Shipley ha definito la posizione di Microsoft 'un assegno in bianco per gli info-stealer', criticando il fatto che ignori scenari enterprise comuni: sessioni condivise, macchine multi-utente e account admin compromessi ma non ancora individuati.

Edge password in chiaro RAM: rischio aziende

Un ricercatore norvegese dimostra che Edge carica TUTTE le password salvate in chiaro nella RAM. Microsoft risponde: «È by design». Cosa fare subito.

TL;DR: Microsoft Edge decripta e carica in memoria RAM tutte le password salvate nel browser — anche quelle di siti che l'utente non sta visitando — e le mantiene in chiaro per l'intera sessione. Un attaccante con privilegi amministrativi può estrarle con un semplice dump della memoria di processo. Microsoft ha dichiarato che si tratta di un comportamento «by design», non di un bug. Il rischio è particolarmente elevato per PMI e ambienti enterprise con sessioni RDS, VDI o terminal server condivisi. La mitigazione più efficace: adottare un password manager dedicato, abilitare l'autenticazione a due fattori ovunque possibile e implementare hardening delle sessioni remote. Vai alle soluzioni →

Immaginate di entrare in ufficio, accendere il PC, aprire Microsoft Edge e — senza ancora aver visitato alcun sito — tutte le vostre password aziendali siano già disponibili in chiaro nella RAM del computer. Non è un esercizio di fantasia. È esattamente ciò che accade oggi su milioni di macchine Windows in tutto il mondo, Italia compresa.

La scoperta, resa pubblica il 5 maggio 2026 dal ricercatore norvegese Tom Jøran Sønstebyseter Rønning, offensive security lead presso Statnett SF (il gestore della rete elettrica norvegese), getta una luce cruda su una scelta architetturale di Microsoft che ha implicazioni immediate per qualunque organizzazione utilizzi Edge in ambienti multi-utente — dagli studi professionali alle PMI manifatturiere, dagli enti pubblici alle aziende che operano su infrastrutture Windows Server con Remote Desktop Services.

La notizia, coperta da testate come Dark Reading, Computerworld e Forbes, non ha ancora trovato eco nella stampa tecnica italiana. Questo articolo colma quel vuoto — e offre una guida operativa per chi deve prendere decisioni di sicurezza oggi.

La scoperta: cosa succede davvero nella memoria di Edge

Il meccanismo è tanto semplice quanto allarmante. Quando un utente avvia Microsoft Edge, il browser — prima ancora che venga digitato un URL — decripta l'intero vault delle password salvate e lo carica nella memoria di processo. Le credenziali rimangono lì, in chiaro (cleartext), per tutta la durata della sessione, indipendentemente dal fatto che l'utente visiti o meno i siti a cui quelle password appartengono.

Rønning ha documentato la procedura di estrazione con un proof-of-concept pubblicato su GitHub. I passaggi per riprodurre il problema sono alla portata di chiunque abbia privilegi amministrativi sulla macchina:

Aprire Microsoft Edge (senza navigare in alcun sito)
Accedere al Task Manager, individuare il processo "browser" di Edge
Creare un dump della memoria con un clic destro → "Crea file dump"
Utilizzare l'utility strings (disponibile su Linux o tramite Sysinternals per Windows) per estrarre le stringhe in chiaro
Cercare il pattern comhttps per individuare il blocco di credenziali

Il risultato? Tutte le password salvate appaiono in chiaro, formattate in modo ordinato: URL, nome utente, password. Come ha confermato Rob VandenBrink, handler del SANS Internet Storm Center, replicando l'esperimento sul proprio sistema: «È davvero così facile». La testata tedesca Heise.de ha verificato indipendentemente, creando una password di test e ritrovandola in chiaro nel dump della memoria anche dopo aver chiuso e riaperto il browser.

«By design»: la risposta di Microsoft e perché non convince

La reazione di Microsoft alla segnalazione di Rønning è stata lapidaria: il comportamento è «by design», ovvero intenzionale e non considerato una vulnerabilità. Secondo quanto riportato dal sito norvegese Itavisen.no, l'azienda di Redmond ha risposto che si tratta di una scelta progettuale consapevole.

La posizione ufficiale di Microsoft, documentata anche sulla documentazione tecnica di Edge, è che «gli attacchi e il malware locali sono al di fuori del modello di minaccia». In altre parole: se un attaccante ha già accesso amministrativo alla macchina, il gioco è perso a prescindere. Il browser non è progettato per difendersi da minacce in cui l'intero dispositivo è compromesso.

Questa argomentazione, tuttavia, regge solo in parte. David Shipley, CEO di Beauceron Security, ha commentato senza mezzi termini: «No, non è una feature. È un modo comodo per sottrarsi alle responsabilità». E ha aggiunto che si tratta di «un assegno in bianco per gli info-stealer». La critica centrale è che il modello di minaccia di Microsoft ignora scenari estremamente comuni nel mondo enterprise: ambienti con sessioni condivise, macchine multi-utente e account admin compromessi ma non ancora rilevati — esattamente il tipo di minaccia laterale che caratterizza gli attacchi ransomware moderni.

Gli scenari a rischio: RDS, VDI, server condivisi

Il problema non è teorico. Assume contorni concreti in almeno quattro scenari che riguardano da vicino il tessuto produttivo italiano:

1. Ambienti Remote Desktop Services (RDS)

Molte PMI italiane utilizzano Windows Server con RDS per consentire ai dipendenti di accedere ad applicazioni centralizzate. In questi ambienti, più utenti condividono lo stesso server fisico o virtuale. Se un account con privilegi amministrativi viene compromesso — scenario tutt'altro che raro — l'attaccante può eseguire un dump della memoria di tutti i processi Edge in esecuzione sul server, raccogliendo le password di ogni utente attivo. Il danno si propaga orizzontalmente in pochi minuti.

2. Infrastrutture VDI (Virtual Desktop Infrastructure)

Analogamente agli RDS, gli ambienti VDI (Citrix, VMware Horizon, Windows 365) concentrano decine o centinaia di sessioni utente su host condivisi. Un admin compromesso su un hypervisor o su un golden image può potenzialmente accedere ai dump di memoria di tutte le macchine virtuali ospitate.

3. PC condivisi e postazioni a turno

In contesti come call center, magazzini, reception, laboratori di analisi e sportelli al pubblico, è prassi che più dipendenti utilizzino la stessa macchina fisica con account diversi. Edge, su ciascun profilo utente Windows, carica le password di quel profilo in memoria. Se un malware ottiene privilegi admin su quella macchina, tutte le credenziali di tutti gli utenti di quel PC sono a rischio.

4. Account admin non segmentati

Nelle PMI italiane è ancora comune la pratica di utilizzare account con privilegi amministrativi per attività quotidiane. Un singolo account admin compromesso — magari tramite una campagna di phishing — diventa la chiave per accedere all'intero vault password di Edge su quella macchina, incluse credenziali di servizi cloud, portali bancari, CRM e piattaforme di procurement.

Confronto: Edge, Chrome, Firefox e password manager dedicati

Non tutti i browser gestiscono le password allo stesso modo. Capire le differenze è essenziale per una scelta consapevole.

Browser / Strumento	Password in chiaro in memoria	Protezione aggiuntiva	Adatto ad ambienti enterprise?
Microsoft Edge	✅ Sì, sempre	Autenticazione dispositivo (Windows Hello) per la visualizzazione; deprecata password principale personalizzata dal 4 giugno 2026	⚠️ Rischio elevato in sessioni condivise
Google Chrome	❌ No (App Bound Encryption)	App Bound Encryption: le password vengono decriptate solo quando necessarie e non restano in chiaro in memoria di processo	✅ Più sicuro, ma non invulnerabile
Mozilla Firefox	❌ No (con master password)	Supporta master password che protegge l'accesso alle credenziali; non carica tutte le password in memoria all'avvio	✅ Buona protezione
Password manager dedicati (Bitwarden, 1Password, KeePass)	❌ No	Crittografia end-to-end; decrittografia solo su richiesta; spesso richiedono autenticazione separata; molti offrono zero-knowledge architecture	✅ Scelta consigliata per aziende

Google Chrome utilizza un sistema chiamato App Bound Encryption che, pur non essendo infallibile (è stato violato in passato da attaccanti determinati), richiede competenze significativamente superiori rispetto al semplice dump di memoria che basta per Edge. Firefox, con la master password attivata, offre una protezione ancora maggiore. I password manager dedicati — come Bitwarden, 1Password o KeePass — rappresentano il gold standard: le credenziali vengono decriptate solo al momento dell'uso effettivo e cancellate dalla memoria subito dopo.

Cosa fare subito: guida operativa per aziende e privati

La priorità non è abbandonare Edge in blocco — scelta poco realistica per molte organizzazioni integrate nell'ecosistema Microsoft 365 — ma adottare un set di contromisure stratificate che riducano drasticamente la superficie d'attacco.

1. Adottare un password manager aziendale (priorità massima)

Disabilitare il salvataggio delle password nel browser e migrare a un password manager dedicato è la singola azione di maggior impatto. Un password manager enterprise isola le credenziali dal browser, le decripta solo quando servono e offre controlli amministrativi centralizzati — indispensabili per le PMI che devono gestire accessi di dipendenti, collaboratori e fornitori.

2. Attivare l'autenticazione a due fattori (2FA)

Anche se una password viene esfiltrata dalla memoria di Edge, l'autenticazione a due fattori impedisce all'attaccante di utilizzarla. Questo è vero per tutti i servizi che supportano 2FA: Microsoft 365, Google Workspace, portali bancari, CRM, ERP. L'implementazione deve essere sistematica, non limitata agli account «più importanti».

3. Segmentare gli account amministrativi

Nessun account utilizzato per attività quotidiane dovrebbe avere privilegi amministrativi. Questa regola aurea della cybersecurity — spesso disattesa nelle PMI — diventa ancora più critica alla luce della vulnerabilità di Edge. Utilizzare account standard per la navigazione e account admin dedicati (possibilmente con accesso just-in-time) riduce il rischio che un malware in esecuzione nel contesto utente possa effettuare dump della memoria.

4. Hardening delle sessioni RDS e VDI

Per le aziende che utilizzano Remote Desktop Services o infrastrutture VDI:

Disabilitare l'accesso amministrativo diretto via RDP
Implementare Microsoft Defender for Identity per il rilevamento di movimenti laterali
Configurare Windows Defender Application Control per limitare l'esecuzione di utility come procdump o strings
Valutare l'uso di soluzioni EDR (Endpoint Detection and Response) che monitorano i dump di processo sospetti

5. Per gli utenti individuali: gestire le password di bordo

Chi utilizza Edge su un PC personale ha meno motivi di allarme immediato — il vettore d'attacco richiede privilegi amministrativi. Tuttavia, la prudenza non è mai troppa. Disabilitare il salvataggio delle password in Edge e passare a un password manager (anche gratuito, come Bitwarden) è una buona pratica di igiene digitale. Inoltre, mantenere Windows Defender attivo e aggiornato riduce il rischio che malware ottenga i privilegi necessari per sfruttare la falla.

Limiti e trade-off: quando Edge ha ancora senso

Sarebbe fuorviante concludere che Edge vada abbandonato senza appello. Il browser di Microsoft offre vantaggi reali in contesti specifici:

Integrazione con Microsoft 365: per le aziende che utilizzano Azure AD/Entra ID, SharePoint, Teams e Outlook, Edge offre un'esperienza più fluida e funzionalità di sicurezza aggiuntive come Microsoft Defender SmartScreen
Gestione centralizzata: i criteri di gruppo di Edge consentono agli amministratori IT di controllare centralmente le impostazioni di sicurezza, inclusa la disabilitazione del salvataggio password
Protezioni anti-phishing: Edge integra SmartScreen, che blocca siti malevoli noti e offre una protezione aggiuntiva contro il phishing — la prima causa di furto credenziali secondo i report di settore

Il punto non è abbandonare Edge, ma disabilitare il salvataggio delle password nel browser e delegare la gestione delle credenziali a uno strumento specializzato. Edge rimane un browser perfettamente utilizzabile in ambito aziendale — a patto che il password manager integrato venga disattivato via GPO e sostituito con un'alternativa più sicura.

Il contesto italiano: perché le PMI sono più esposte

Il panorama delle PMI italiane presenta caratteristiche che amplificano il rischio descritto in questo articolo. Secondo i dati ISTAT più recenti, oltre il 95% delle imprese italiane ha meno di 10 addetti. In molte di queste realtà:

Non esiste un responsabile IT dedicato, figuriamoci un CISO
Le postazioni di lavoro sono spesso condivise tra più persone senza una rigorosa separazione dei profili
Gli account amministrativi vengono utilizzati per operazioni quotidiane per «risparmiare tempo»
La formazione sulla sicurezza informatica è minima o assente

In questo scenario, la scoperta di Rønning non è una nota a piè di pagina per addetti ai lavori: è un rischio concreto che merita attenzione immediata. Peraltro, la deprecazione della password principale personalizzata di Edge — annunciata da Microsoft a partire dal 5 marzo 2026, con rimozione completa prevista per il 4 giugno 2026 — rimuove l'ultimo baluardo di protezione lato utente, sostituendolo con l'autenticazione basata sul dispositivo (Windows Hello) che, per quanto comoda, non risolve il problema della persistenza delle password in chiaro in memoria.

Prospettive: Microsoft correggerà il problema?

Al momento in cui scriviamo (6 maggio 2026), Microsoft non ha annunciato piani per modificare il comportamento di Edge. La classificazione «by design» suggerisce che l'azienda non considera prioritaria una revisione architetturale del vault delle credenziali. Tuttavia, la pressione mediatica e l'attenzione della comunità di sicurezza potrebbero cambiare le cose.

Google Chrome, che condivide con Edge il motore Chromium, ha già dimostrato che un approccio diverso è tecnicamente possibile con l'App Bound Encryption. Non esiste un ostacolo tecnologico insormontabile: esiste una scelta di priorità. Come ha sottolineato David Shipley su Computerworld: «È chiaramente un problema motivazionale, non tecnico. Microsoft regala il browser, perché dovrebbe preoccuparsi di blindarlo oltre il minimo indispensabile?».

Nel frattempo, la responsabilità ricade su aziende e utenti. Disabilitare il password manager di Edge, adottare uno strumento dedicato, abilitare la 2FA ovunque e segmentare i privilegi amministrativi sono azioni che riducono il rischio in modo misurabile — e che non richiedono alcun intervento da parte di Microsoft.

🔐 Vuoi verificare la sicurezza della tua rete aziendale?

Neomedia offre un audit di sicurezza gratuito per le PMI italiane: analizziamo la configurazione dei tuoi endpoint, verifichiamo l'esposizione delle credenziali e ti forniamo un piano di hardening personalizzato. Include la verifica della gestione password sui browser aziendali e la configurazione di Microsoft 365.

Richiedi un audit gratuito →

Conclusioni: il costo dell'inazione

La vicenda Edge racchiude una lezione più ampia sulla sicurezza informatica: le scelte architetturali dei fornitori hanno conseguenze reali che non sempre vengono comunicate in modo trasparente. Che Microsoft consideri «by design» il caricamento delle password in chiaro nella RAM non cambia il fatto che questa scelta espone milioni di utenti a un rischio evitabile.

Per le aziende italiane, il costo dell'inazione può essere altissimo: un singolo account admin compromesso può trasformarsi nel furto dell'intero parco credenziali aziendali, con conseguenze che vanno dal danno reputazionale all'interruzione operativa, fino alle sanzioni previste dal GDPR per mancata protezione dei dati.

La buona notizia è che le contromisure esistono e sono implementabili a costi contenuti. Non serve un budget enterprise per proteggersi: servono consapevolezza, un password manager dedicato e l'autenticazione a due fattori. Tre elementi che, combinati, neutralizzano la minaccia anche in attesa di un ripensamento da parte di Microsoft.

Cosa imparerai

Microsoft Edge tiene le password in chiaro in memoria: il rischio per aziende e utenti italiani