Los investigadores de ciberseguridad han descubierto un defecto de seguridad en el selector de archivos OneDrive de Microsoft que, si se explotan con éxito, podría permitir que los sitios web accedan a todo el contenido de almacenamiento en la nube de un usuario, en lugar de los archivos seleccionados para cargar a través de la herramienta.
«Esto se deriva de los ámbitos de OAuth demasiado amplios y las pantallas de consentimiento engañosas que no explican claramente el alcance del acceso que se otorga», dijo el equipo de investigación de Oasis en un informe compartido con Hacker News. «Este defecto podría tener graves consecuencias, incluida la fuga de datos de los clientes y la violación de las regulaciones de cumplimiento».
Se evalúa que varias aplicaciones se ven afectadas, como ChatGPT, Slack, Trello y ClickUp, dada su integración con el servicio en la nube de Microsoft.
El problema, dijo Oasis, es el resultado de los permisos excesivos solicitados por el selector de archivos OneDrive, que busca acceso de lectura a toda la unidad, incluso en casos solo se carga un solo archivo debido a la ausencia de alcances Oauth de grano fino para OneDrive.
Los asuntos compuestos además, los usuarios de consentimiento se presentan antes de una carga de archivo es vago y no transmite adecuadamente el nivel de acceso que se otorga, lo que expone a los usuarios a riesgos de seguridad inesperados.
«La falta de ámbitos de grano fino hace imposible que los usuarios distinguen entre aplicaciones maliciosas que se dirigen a todos los archivos y aplicaciones legítimas que solicitan permisos excesivos simplemente porque no hay otra opción segura», señaló Oasis.
La compañía de seguridad con sede en Nueva York señaló además que los tokens OAuth utilizados para autorizar el acceso a menudo se almacenan inseguamente, y agregó que se guardan en el almacenamiento de la sesión del navegador en formato de texto sin formato.
Otra posible trampa es que los flujos de trabajo de autorización también pueden implicar emitir un token de actualización, otorgando la aplicación acceso continuo a los datos del usuario al permitirle obtener nuevos tokens de acceso sin tener que pedirle al usuario que vuelva a iniciar sesión cuando expire el token actual.
Después de la divulgación responsable, Microsoft ha reconocido el problema, aunque todavía no hay solución. Mientras tanto, vale la pena considerar eliminar temporalmente la opción de cargar archivos usando OneDrive a través de OAuth hasta que esté en su lugar. Alternativamente, se recomienda evitar el uso de tokens de actualización y almacenar tokens de acceso de manera segura y deshacerse de ellos cuando ya no sea necesario.
Cuando se contactó para hacer comentarios, Microsoft dijo: «Apreciamos la asociación con la seguridad de Oasis al revelar de manera responsable este problema. Esta técnica no cumple con nuestra barra para el servicio inmediato como usuario debe dar su consentimiento a la aplicación antes de que se permita el acceso. Consideraremos mejoras para la experiencia en una versión futura».
«La falta de ámbitos de OAuth de grano fino combinados con el velo aviso del usuario de Microsoft es una combinación peligrosa que pone en riesgo a los usuarios personales y empresariales», dijo Oasis. «Este descubrimiento refuerza la importancia de la vigilancia continua en la gestión del alcance de OAuth, las evaluaciones de seguridad regulares y el monitoreo proactivo para proteger los datos del usuario».
(La historia se actualizó después de la publicación para incluir una respuesta de Microsoft).