Специалисты компании Oasis Security обнаружили серьезную уязвимость в системе безопасности облачного сервиса Microsoft OneDrive. Проблема связана с компонентом OneDrive File Picker и может привести к несанкционированному доступу сторонних веб-приложений ко всем файлам пользователя.
Технические аспекты уязвимости
Основная проблема заключается в механизме OAuth-авторизации OneDrive File Picker, который запрашивает избыточные разрешения на доступ. При загрузке даже одного файла инструмент требует полный доступ на чтение ко всему облачному хранилищу пользователя. Отсутствие детальных настроек OAuth для OneDrive не позволяет ограничить область доступа только необходимыми файлами.
Масштаб проблемы и затронутые сервисы
Уязвимость затрагивает множество популярных веб-приложений, интегрированных с OneDrive, включая ChatGPT, Slack, Trello, Zoom и ClickUp. Особую озабоченность вызывает тот факт, что доступ к файлам может сохраняться даже после завершения процесса загрузки.
Дополнительные риски безопасности
Исследователи выявили несколько сопутствующих проблем безопасности. Токены OAuth часто хранятся в незащищенном виде между сессиями браузера. Кроме того, использование refresh-токенов позволяет приложениям поддерживать постоянный доступ к данным без необходимости повторной авторизации пользователя.
Реакция Microsoft и рекомендации по безопасности
Хотя Microsoft признала существование проблемы, компания пока не предоставила исправления, аргументируя это тем, что доступ предоставляется только после явного согласия пользователя. Специалисты по безопасности рекомендуют следующие превентивные меры:
- Временно отключить функцию загрузки файлов через OneDrive и OAuth
- Избегать использования токенов обновления
- Обеспечить безопасное хранение токенов доступа
- Своевременно удалять неиспользуемые токены доступа
В свете выявленной уязвимости организациям и частным пользователям рекомендуется провести аудит интеграций с OneDrive и пересмотреть политики доступа к конфиденциальным данным. До выпуска официального исправления следует с особой осторожностью подходить к предоставлению доступа сторонним приложениям через OneDrive File Picker.
