Cybersecurity -onderzoekers hebben een beveiligingsfout ontdekt in de OneDrive -bestandskiezer van Microsoft die, indien met succes benut, websites in staat zouden stellen toegang te krijgen tot de hele cloudopslaginhoud van een gebruiker, in tegenstelling tot alleen de bestanden die zijn geselecteerd voor upload via de tool.
“Dit komt voort uit overdreven brede oauth -scopes en misleidende toestemmingsschermen die niet duidelijk verklaren in de mate van toegang tot de toegang”, zei het Oasis Research -team in een rapport dat wordt gedeeld met het Hacker News. “Deze fout zou ernstige gevolgen kunnen hebben, waaronder lekkage van klantengegevens en schending van de nalevingsvoorschriften.”
Er wordt beoordeeld dat verschillende apps worden getroffen, zoals Chatgpt, Slack, Trello en Clickup, gezien hun integratie met Microsoft’s Cloud Service.
Het probleem, zei Oasis, is het resultaat van overmatige machtigingen die zijn gevraagd door de OneDrive-bestandskicker, die leest toegang tot de hele schijf, zelfs in gevallen wordt slechts een enkel bestand geüpload vanwege de afwezigheid van fijnkorrelige oauth-scopes voor OneDrive.
Verder samengestelde zaken worden de toestemmingspromptgebruikers gepresenteerd voordat een bestandsupload vaag is en geeft het niet voldoende het toegangsniveau over dat wordt toegekend, waardoor gebruikers worden blootgesteld aan onverwachte beveiligingsrisico’s.
“Het gebrek aan fijnkorrelige scopes maakt het onmogelijk voor gebruikers om onderscheid te maken tussen kwaadaardige apps die zich richten op alle bestanden en legitieme apps die om buitensporige machtigingen vragen, simpelweg omdat er geen andere veilige optie is,” merkte Oasis op.
Het in New York gevestigde beveiligingsbedrijf wees er verder op dat de OAuth-tokens die worden gebruikt om de toegang te autoriseren vaak onzeker worden opgeslagen, eraan toevoegend dat ze worden opgeslagen in de sessieopslag van de browser in platte tekstformaat.
Een andere potentiële valkuil is dat de autorisatieworkflows ook kunnen zijn om een vernieuwingstoken uit te geven, waardoor de applicatie voortdurende toegang tot gebruikersgegevens wordt toegestaan door deze toe te staan nieuwe Access Tokens te krijgen zonder de gebruiker te vragen om in te loggen wanneer het huidige token afloopt.
Na verantwoorde openbaarmaking heeft Microsoft het probleem erkend, hoewel er nog geen oplossing is. In de tussentijd is het de moeite waard om de optie te overwegen om bestanden te uploaden met OneDrive via OAuth totdat er een veilig alternatief is. Als alternatief wordt het geadviseerd om te voorkomen dat u op een veilige manier wordt verversingstokens gebruikt en toegangstokens op te slaan en er vanaf te komen wanneer ze niet langer nodig zijn.
The Hacker News heeft contact opgenomen met Microsoft voor meer commentaar en we zullen het verhaal bijwerken als we het horen.
“Het ontbreken van fijnkorrelige oauth-scopes in combinatie met de vage gebruikersprompt van Microsoft is een gevaarlijke combinatie die zowel persoonlijke als bedrijfsgebruikers in gevaar brengt,” zei Oasis. “Deze ontdekking versterkt het belang van continue waakzaamheid in OAuth Scope Management, regelmatige beveiligingsbeoordelingen en proactieve monitoring om gebruikersgegevens te beschermen.”
