Sicherheitsforscher entdecken schwerwiegende OAuth-Schwachstelle in Microsoft OneDrive

CyberSecureFox 🦊

Sicherheitsforscher von Oasis Security haben eine kritische Schwachstelle im OAuth-Authentifizierungssystem von Microsoft OneDrive aufgedeckt. Die Sicherheitslücke ermöglicht es Drittanbieter-Anwendungen, uneingeschränkten Zugriff auf sämtliche Dateien im OneDrive-Speicher eines Nutzers zu erlangen, selbst wenn nur einzelne Dateien hochgeladen werden sollen.

Technische Details der Sicherheitslücke

Im Zentrum der Problematik steht der OneDrive File Picker, dessen OAuth-Implementierung keine granulare Rechtevergabe ermöglicht. Bei jeder Dateiauswahl werden vollständige Leserechte für das gesamte Cloud-Speicherkonto angefordert. Diese übermäßige Rechtevergabe verstößt gegen das Prinzip der geringsten Privilegien (Principle of Least Privilege) und schafft unnötige Sicherheitsrisiken.

Betroffene Dienste und Auswirkungen

Die Schwachstelle betrifft zahlreiche populäre Webanwendungen mit OneDrive-Integration, darunter ChatGPT, Slack, Trello, Zoom und ClickUp. Besonders problematisch ist, dass die erteilten Zugriffsrechte auch nach Abschluss des ursprünglichen Dateizugriffs bestehen bleiben können.

Zusätzliche Sicherheitsrisiken

Die Analyse offenbarte weitere kritische Sicherheitsprobleme:
– Unverschlüsselte Speicherung von OAuth-Tokens zwischen Browser-Sitzungen
– Verwendung von Refresh-Tokens, die permanenten Zugriff ohne erneute Authentifizierung ermöglichen
Fehlende automatische Token-Invalidierung nach Abschluss der autorisierten Aktion

Empfohlene Sicherheitsmaßnahmen

Bis Microsoft eine vollständige Lösung bereitstellt, empfehlen Sicherheitsexperten folgende Schutzmaßnahmen:
– Deaktivierung der OneDrive-Dateiupload-Funktion in kritischen Anwendungen
– Verzicht auf die Verwendung von Refresh-Tokens
– Implementierung sicherer Token-Speicherung
– Regelmäßige Überprüfung und Widerruf nicht benötigter Zugriffsberechtigungen

Organisationen sollten umgehend ihre OneDrive-Integrationen einer gründlichen Sicherheitsüberprüfung unterziehen. Besondere Vorsicht ist bei der Handhabung sensibler Unternehmensdaten geboten. Ein systematisches Monitoring der OAuth-Berechtigungen und die Implementierung zusätzlicher Sicherheitskontrollen sind bis zur Behebung der Schwachstelle durch Microsoft dringend anzuraten.

Schreibe einen Kommentar

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..