Дослідники з компанії Oasis Security виявили критичну вразливість в системі безпеки Microsoft OneDrive, яка створює серйозні ризики для конфіденційності користувацьких даних. Проблема пов’язана з компонентом OneDrive File Picker та може призвести до неконтрольованого доступу сторонніх веб-додатків до всіх файлів користувача в хмарному сховищі.
Технічний аналіз вразливості OAuth-авторизації
Основною проблемою є недосконалість механізму OAuth-авторизації в OneDrive File Picker. При спробі завантаження навіть одного файлу система запитує повний доступ для читання всього хмарного сховища. Відсутність гранулярних налаштувань OAuth унеможливлює обмеження області доступу виключно необхідними файлами, що суперечить принципу найменших привілеїв у кібербезпеці.
Вплив на популярні сервіси та масштаб загрози
Вразливість зачіпає широкий спектр популярних веб-сервісів, інтегрованих з OneDrive, включаючи ChatGPT, Slack, Trello, Zoom та ClickUp. Особливе занепокоєння викликає те, що токени доступу можуть зберігатися після завершення сеансу завантаження, створюючи довготривалі ризики безпеки.
Додаткові вектори загроз
Експертний аналіз виявив супутні проблеми безпеки: незахищене зберігання OAuth-токенів між сесіями браузера та використання refresh-токенів, які дозволяють підтримувати постійний доступ до даних без повторної автентифікації. Це створює додаткові вектори для потенційних атак та компрометації даних.
Рекомендації щодо мінімізації ризиків
Для захисту конфіденційних даних рекомендується впровадити наступні заходи безпеки:
- Тимчасово деактивувати інтеграцію з OneDrive через OAuth
- Регулярно проводити аудит наданих дозволів
- Використовувати захищене сховище для токенів доступу
- Систематично видаляти неактивні токени авторизації
До випуску офіційного патча від Microsoft критично важливо переглянути політики доступу до корпоративних даних та обмежити використання OneDrive File Picker у високоризикових сценаріях. Організаціям рекомендується провести комплексний аудит безпеки та впровадити додаткові механізми контролю доступу до конфіденційної інформації.
