Pesquisadores de cibersegurança descobriram uma falha de segurança no OneDrive File Picker da Microsoft que, se explorada com sucesso, poderia permitir que websites acessassem todo o conteúdo de armazenamento na nuvem de um usuário, ao invés de apenas os arquivos selecionados para upload por meio da ferramenta.
"Isso se deve a escopos OAuth demasiadamente amplos e telas de consentimento enganosas que não explicam claramente a extensão do acesso concedido", disse a equipe de pesquisa Oasis em um relatório compartilhado com a imprensa.
Essa falha poderia ter consequências graves, incluindo vazamento de dados de clientes e violação de regulamentações de conformidade.
Avalia-se que vários apps são afetados, como ChatGPT, Slack, Trello e ClickUp, devido à integração deles com o serviço em nuvem da Microsoft.
O problema, segundo a Oasis, resulta das permissões excessivas solicitadas pelo OneDrive File Picker, que busca acesso de leitura a todo o drive, mesmo em casos em que apenas um único arquivo é feito upload devido à ausência de escopos OAuth detalhados para o OneDrive.
Para complicar ainda mais, o prompt de consentimento apresentado aos usuários antes de um upload de arquivo é vago e não transmite adequadamente o nível de acesso que está sendo concedido, expondo os usuários a riscos de segurança inesperados.
"A falta de escopos detalhados torna impossível para os usuários distinguirem entre apps maliciosos que visam todos os arquivos e apps legítimos que pedem permissões excessivas simplesmente porque não há outra opção segura", observou a Oasis.
A empresa de segurança, com sede em Nova York, salientou que os tokens OAuth usados para autorizar o acesso são frequentemente armazenados de forma insegura, adicionando que são salvos no armazenamento de sessão do navegador em formato de texto simples.
Outro potencial problema é que os fluxos de autorização podem também envolver a emissão de um refresh token, concedendo ao aplicativo acesso contínuo aos dados do usuário ao permitir que obtenha novos access tokens sem necessidade de pedir ao usuário para fazer login novamente quando o token atual expira.
Após a divulgação responsável, a Microsoft reconheceu o problema, embora ainda não haja uma correção.
Entretanto, vale considerar a remoção temporária da opção de upload de arquivos usando o OneDrive por OAuth até que uma alternativa segura esteja no lugar.
Alternativamente, é aconselhado evitar usar refresh tokens e armazenar access tokens de maneira segura e se desfazer deles quando não forem mais necessários.
"A falta de escopos OAuth detalhados combinada com o prompt de usuário vago da Microsoft é uma combinação perigosa que coloca tanto usuários pessoais quanto empresariais em risco", disse a Oasis.
Esta descoberta reforça a importância da vigilância contínua na gestão de escopos OAuth, avaliações de segurança regulares e monitoramento proativo para proteger os dados do usuário.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...