Nguồn: TheHackerNews
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một lỗ hổng bảo mật trong OneDrive File Picker của Microsoft, nếu khai thác thành công, có thể cho phép các trang web truy cập toàn bộ nội dung lưu trữ đám mây của người dùng, trái ngược với chỉ các tệp được chọn để tải lên thông qua công cụ này.
“Điều này xuất phát từ phạm vi OAuth quá rộng và màn hình đồng ý gây hiểu lầm không giải thích rõ ràng về phạm vi quyền truy cập được cấp”, Nhóm nghiên cứu Oasis cho biết trong một báo cáo được chia sẻ với The Hacker News. “Lỗ hổng này có thể gây ra hậu quả nghiêm trọng, bao gồm rò rỉ dữ liệu khách hàng và vi phạm các quy định về tuân thủ”.
Người ta đánh giá rằng một số ứng dụng bị ảnh hưởng, chẳng hạn như ChatGPT, Slack, Trello và ClickUp, do chúng tích hợp với dịch vụ đám mây của Microsoft.
Oasis cho biết vấn đề là kết quả của việc OneDrive File Picker yêu cầu quá nhiều quyền, tìm kiếm quyền truy cập đọc vào toàn bộ ổ đĩa, ngay cả trong trường hợp chỉ tải lên một tệp do không có phạm vi OAuth chi tiết cho OneDrive.
Làm cho vấn đề trở nên phức tạp hơn, lời nhắc đồng ý mà người dùng được hiển thị trước khi tải tệp lên là mơ hồ và không truyền đạt đầy đủ mức độ truy cập được cấp, do đó khiến người dùng phải đối mặt với các rủi ro bảo mật không mong muốn.
Oasis lưu ý rằng: “Việc thiếu phạm vi phân định chi tiết khiến người dùng không thể phân biệt giữa các ứng dụng độc hại nhắm vào tất cả các tệp và các ứng dụng hợp pháp yêu cầu quyền quá mức chỉ vì không có tùy chọn an toàn nào khác”.
Công ty bảo mật có trụ sở tại New York chỉ ra thêm rằng các mã thông báo OAuth được sử dụng để cấp quyền truy cập thường được lưu trữ không an toàn, thêm vào đó chúng được lưu trong bộ lưu trữ phiên của trình duyệt ở định dạng văn bản thuần túy.
Một cạm bẫy tiềm ẩn khác là quy trình cấp quyền cũng có thể liên quan đến việc cấp mã thông báo làm mới, cấp cho ứng dụng quyền truy cập liên tục vào dữ liệu người dùng bằng cách cho phép ứng dụng nhận mã thông báo truy cập mới mà không cần phải yêu cầu người dùng đăng nhập lại khi mã thông báo hiện tại hết hạn.
Sau khi tiết lộ có trách nhiệm, Microsoft đã thừa nhận vấn đề, mặc dù vẫn chưa có cách khắc phục. Trong thời gian chờ đợi, bạn nên cân nhắc tạm thời xóa tùy chọn tải tệp lên bằng OneDrive thông qua OAuth cho đến khi có giải pháp thay thế an toàn. Hoặc, bạn nên tránh sử dụng mã thông báo làm mới và lưu trữ mã thông báo truy cập theo cách an toàn và xóa chúng khi không còn cần thiết nữa.
Khi được liên hệ để bình luận, Microsoft cho biết: “Chúng tôi đánh giá cao sự hợp tác với Oasis Security trong việc tiết lộ vấn đề này một cách có trách nhiệm. Kỹ thuật này không đáp ứng được tiêu chuẩn của chúng tôi để được phục vụ ngay lập tức vì người dùng phải đồng ý với ứng dụng trước khi được phép truy cập. Chúng tôi sẽ xem xét cải thiện trải nghiệm trong bản phát hành trong tương lai”.
Oasis cho biết “Việc thiếu phạm vi OAuth chi tiết kết hợp với lời nhắc người dùng mơ hồ của Microsoft là sự kết hợp nguy hiểm khiến cả người dùng cá nhân và doanh nghiệp đều gặp rủi ro”. “Khám phá này củng cố tầm quan trọng của việc liên tục cảnh giác trong quản lý phạm vi OAuth, đánh giá bảo mật thường xuyên và giám sát chủ động để bảo vệ dữ liệu người dùng”.
