Investigadores de Oasis Security han identificado una vulnerabilidad crítica en Microsoft OneDrive que podría permitir a aplicaciones de terceros acceder sin restricciones a todos los archivos almacenados en la nube del usuario. La falla, relacionada con el componente OneDrive File Picker, representa un riesgo significativo para la privacidad y seguridad de los datos personales y corporativos.
Análisis técnico de la vulnerabilidad
El problema central radica en la implementación del protocolo OAuth en OneDrive File Picker, que solicita permisos excesivamente amplios durante el proceso de autorización. Cuando un usuario intenta cargar un solo archivo, el sistema requiere acceso completo de lectura a todo el almacenamiento en la nube. Esta falta de granularidad en los permisos OAuth constituye una seria brecha de seguridad que podría ser explotada por actores malintencionados.
Impacto en aplicaciones populares
La vulnerabilidad afecta a numerosas plataformas ampliamente utilizadas que integran OneDrive, incluyendo ChatGPT, Slack, Trello, Zoom y ClickUp. Lo más preocupante es que estas aplicaciones podrían mantener el acceso a los archivos del usuario incluso después de completar la transferencia inicial, creando una exposición prolongada a posibles filtraciones de datos.
Vectores de ataque adicionales
El análisis reveló vulnerabilidades secundarias relacionadas con el manejo de tokens OAuth. Los tokens de acceso frecuentemente se almacenan sin cifrado entre sesiones del navegador, mientras que los tokens de actualización permiten mantener el acceso persistente sin requerir nueva autenticación, aumentando el riesgo de comprometer la seguridad de los datos.
Medidas de mitigación recomendadas
Ante la ausencia de un parche oficial de Microsoft, los expertos en ciberseguridad recomiendan implementar las siguientes medidas preventivas:
- Desactivar temporalmente las integraciones de OneDrive File Picker
- Eliminar los tokens de actualización existentes
- Implementar el almacenamiento seguro de tokens de acceso
- Realizar auditorías regulares de permisos de aplicaciones
La comunidad de seguridad urge a Microsoft a desarrollar una solución que permita un control más granular sobre los permisos de acceso. Mientras tanto, las organizaciones deben evaluar cuidadosamente sus integraciones con OneDrive y considerar alternativas más seguras para el intercambio de archivos sensibles. Los usuarios individuales deben revisar y revocar los permisos otorgados a aplicaciones de terceros para minimizar su exposición a esta vulnerabilidad.