Peneliti cybersecurity telah menemukan cacat keamanan dalam pemetik file OneDrive Microsoft yang, jika berhasil dieksploitasi, dapat memungkinkan situs web untuk mengakses seluruh konten penyimpanan cloud pengguna, sebagai lawan hanya file yang dipilih untuk diunggah melalui alat.
“Ini berasal dari lingkup oauth yang terlalu luas dan layar persetujuan yang menyesatkan yang gagal menjelaskan secara jelas sejauh mana akses diberikan,” kata tim peneliti Oasis dalam sebuah laporan yang dibagikan dengan berita Hacker. “Cacat ini bisa memiliki konsekuensi yang parah, termasuk kebocoran data pelanggan dan pelanggaran peraturan kepatuhan.”
Dinilai bahwa beberapa aplikasi terpengaruh, seperti chatgpt, slack, trello, dan clickup, mengingat integrasi mereka dengan layanan cloud Microsoft.
Masalahnya, kata Oasis, adalah hasil dari izin berlebihan yang diminta oleh OneDrive File Picker, yang mencari akses membaca seluruh drive, bahkan dalam kasus hanya satu file yang diunggah karena tidak adanya scopes oauth berbutir halus untuk OneDrive.
Masalah yang lebih lanjut, persetujuan pengguna prompt disajikan sebelum unggahan file tidak jelas dan tidak secara memadai menyampaikan tingkat akses yang diberikan, sehingga mengekspos pengguna pada risiko keamanan yang tidak terduga.
“Kurangnya lingkup berbutir halus membuat tidak mungkin bagi pengguna untuk membedakan antara aplikasi jahat yang menargetkan semua file dan aplikasi sah yang meminta izin berlebihan hanya karena tidak ada opsi aman lainnya,” kata Oasis.
Perusahaan keamanan yang berbasis di New York lebih lanjut menunjukkan bahwa token OAuth yang digunakan untuk mengesahkan akses sering disimpan secara tidak aman, menambahkan bahwa mereka disimpan dalam penyimpanan sesi browser dalam format Plaintext.
Potensi jebakan lainnya adalah bahwa alur kerja otorisasi juga dapat melibatkan penerbitan token refresh, memberikan aplikasi yang berkelanjutan akses ke data pengguna dengan mengizinkannya mendapatkan token akses baru tanpa harus meminta pengguna untuk masuk lagi ketika token saat ini berakhir.
Mengikuti pengungkapan yang bertanggung jawab, Microsoft telah mengakui masalah tersebut, meskipun belum ada perbaikan. Sementara itu, ada baiknya mempertimbangkan untuk menghapus opsi untuk mengunggah file untuk menggunakan Onedrive melalui OAuth sampai alternatif yang aman ada. Bergantian, disarankan untuk menghindari menggunakan token penyegaran dan menyimpan token akses dengan cara yang aman dan menyingkirkannya saat tidak lagi diperlukan.
The Hacker News telah menjangkau Microsoft untuk komentar lebih lanjut, dan kami akan memperbarui cerita jika kami mendengar kembali.
“Kurangnya lingkup OAuth berbutir halus dikombinasikan dengan prompt pengguna Microsoft yang tidak jelas adalah kombinasi berbahaya yang menempatkan pengguna pribadi dan perusahaan dalam risiko,” kata Oasis. “Penemuan ini memperkuat pentingnya kewaspadaan berkelanjutan dalam manajemen lingkup OAuth, penilaian keamanan reguler, dan pemantauan proaktif untuk melindungi data pengguna.”
