Los investigadores de ciberseguridad han descubierto un defecto de seguridad en el selector de archivos OneDrive de Microsoft. Esto permite que el sitio web acceda a todo el contenido de almacenamiento en la nube del usuario, en lugar de solo los archivos seleccionados para cargar a través de la herramienta.
«Esto se debe a un alcance OAuth muy amplio y una pantalla de consentimiento engañosa que no puede explicar claramente el alcance del acceso otorgado», el informe compartió con Hacker News afirma que «no puede explicar claramente el alcance del acceso». «Este defecto puede tener graves consecuencias, incluidas las fugas de datos de los clientes y las violaciones de las regulaciones de cumplimiento».
Varias aplicaciones, incluidas CHATGPT, Slack, Trello y ClickUp, están clasificadas como afectadas, considerando la integración con los servicios en la nube de Microsoft.
Según OASIS, el problema es el resultado de los privilegios excesivos solicitados por el selector de archivos OneDrive, que requiere acceso de lectura a toda la unidad.
Agregar aún más compuesto dará como resultado una carga de archivos vago, la incapacidad de comunicar adecuadamente el nivel de acceso permitido y el usuario de consentimiento se presentará antes de exponer al usuario a riesgos de seguridad inesperados.
«Debido a la falta de alcance de grano fino, los usuarios no pueden distinguir entre aplicaciones maliciosas que se dirigen a todos los archivos y aplicaciones legítimas que requieren permisos excesivos simplemente porque no tienen otras opciones seguras», dijo Oasis.
La compañía de seguridad con sede en Nueva York también agregó que los tokens OAuth utilizados para otorgar acceso a menudo se almacenan de manera volatil y almacenada en formato de texto plano en el almacenamiento de la sesión del navegador.
Otra posible trampa es que el flujo de trabajo de aprobación implica emitir un token de actualización y puede incluir permitir que las aplicaciones continúen acceso a los datos del usuario al permitir a los usuarios obtener nuevos tokens de acceso sin pedir a los usuarios que vuelvan a iniciar sesión cuando el token actual expire.
Después de la divulgación responsable, Microsoft ha admitido el problema, pero aún no se ha solucionado. Mientras tanto, vale la pena considerar eliminar temporalmente la opción de cargar archivos usando OneDrive a través de OAuth hasta que se configure una alternativa segura. Alternativamente, recomendamos evitar el uso de tokens de actualización, almacenar tokens de acceso de manera segura y eliminarlos cuando ya no son necesarios.
Hacker News contactó a Microsoft para hacer más comentarios. Si has oído hablar de eso, actualizaré la historia.
«La falta de alcance OAuth de grano fino combinado con las oscuras indicaciones del usuario de Microsoft es una combinación peligrosa que pone en riesgo tanto a las personas como a los usuarios comerciales», dijo Oasis. «Este hallazgo refuerza la importancia de la vigilancia continua en la gestión del alcance de OAuth, las evaluaciones de seguridad regulares y el monitoreo proactivo para proteger los datos del usuario».
Source link
