El equipo de investigación de Oasis Security ha descubierto una vulnerabilidad en el componente OneDrive File Picker de Microsoft, que permite a aplicaciones web obtener acceso completo de lectura a todo el contenido de OneDrive de un usuario, en lugar de limitarse a los archivos seleccionados para su carga. Esta falla afecta a cientos de aplicaciones, incluidas ChatGPT, Slack, Trello y ClickUp, lo que implica que millones de usuarios podrían haber otorgado inadvertidamente acceso completo a sus datos en la nube.
Permisos excesivos y almacenamiento inseguro
La raíz del problema radica en los permisos excesivos solicitados por OneDrive File Picker. Debido a la ausencia de scopes OAuth detallados para OneDrive, la implementación oficial solicita acceso de lectura a toda la unidad, incluso cuando se sube un solo archivo. Además, las indicaciones de consentimiento presentadas a los usuarios son vagas y no comunican claramente el nivel de acceso que se está otorgando, dejando a los usuarios expuestos a riesgos de seguridad inesperados.
Otro aspecto preocupante es el almacenamiento inseguro de tokens de acceso. La versión más reciente de OneDrive File Picker (8.0) requiere que los desarrolladores manejen la autenticación utilizando la Biblioteca de Autenticación de Microsoft (MSAL), que almacena tokens sensibles en el almacenamiento de sesión del navegador en texto plano. Si se emite un token de actualización, el acceso puede persistir durante períodos prolongados, proporcionando acceso continuo a los datos del usuario.
Respuesta de Microsoft y recomendaciones de mitigación
Oasis Security informó de esta vulnerabilidad a Microsoft y notificó a los proveedores de aplicaciones afectados. Microsoft ha reconocido el informe y está considerando mejoras futuras, incluida una alineación más precisa entre las funciones de OneDrive File Picker y los permisos que requiere.
Para mitigar los riesgos, Oasis Security recomienda a los usuarios revisar los accesos de terceros que han otorgado a sus cuentas y considerar revocar permisos innecesarios. También se aconseja a los desarrolladores evitar el uso de tokens de actualización y almacenar los tokens de acceso de manera segura, eliminándolos cuando ya no sean necesarios.
Fuente: https://www.oasis.security/
