Sicherheitsforscher von Oasis Security haben eine kritische Schwachstelle im OAuth-Authentifizierungssystem von Microsoft OneDrive aufgedeckt. Die Sicherheitslücke ermöglicht es Drittanbieter-Anwendungen, uneingeschränkten Zugriff auf sämtliche Dateien im OneDrive-Speicher eines Nutzers zu erlangen, selbst wenn nur einzelne Dateien hochgeladen werden sollen.
Technische Details der Sicherheitslücke
Im Zentrum der Problematik steht der OneDrive File Picker, dessen OAuth-Implementierung keine granulare Rechtevergabe ermöglicht. Bei jeder Dateiauswahl werden vollständige Leserechte für das gesamte Cloud-Speicherkonto angefordert. Diese übermäßige Rechtevergabe verstößt gegen das Prinzip der geringsten Privilegien (Principle of Least Privilege) und schafft unnötige Sicherheitsrisiken.
Betroffene Dienste und Auswirkungen
Die Schwachstelle betrifft zahlreiche populäre Webanwendungen mit OneDrive-Integration, darunter ChatGPT, Slack, Trello, Zoom und ClickUp. Besonders problematisch ist, dass die erteilten Zugriffsrechte auch nach Abschluss des ursprünglichen Dateizugriffs bestehen bleiben können.
Zusätzliche Sicherheitsrisiken
Die Analyse offenbarte weitere kritische Sicherheitsprobleme:
– Unverschlüsselte Speicherung von OAuth-Tokens zwischen Browser-Sitzungen
– Verwendung von Refresh-Tokens, die permanenten Zugriff ohne erneute Authentifizierung ermöglichen
– Fehlende automatische Token-Invalidierung nach Abschluss der autorisierten Aktion
Empfohlene Sicherheitsmaßnahmen
Bis Microsoft eine vollständige Lösung bereitstellt, empfehlen Sicherheitsexperten folgende Schutzmaßnahmen:
– Deaktivierung der OneDrive-Dateiupload-Funktion in kritischen Anwendungen
– Verzicht auf die Verwendung von Refresh-Tokens
– Implementierung sicherer Token-Speicherung
– Regelmäßige Überprüfung und Widerruf nicht benötigter Zugriffsberechtigungen
Organisationen sollten umgehend ihre OneDrive-Integrationen einer gründlichen Sicherheitsüberprüfung unterziehen. Besondere Vorsicht ist bei der Handhabung sensibler Unternehmensdaten geboten. Ein systematisches Monitoring der OAuth-Berechtigungen und die Implementierung zusätzlicher Sicherheitskontrollen sind bis zur Behebung der Schwachstelle durch Microsoft dringend anzuraten.
