一、漏洞概述
OneDrive文件选择器(File Picker)是微软云存储服务的关键组件,允许用户在各类应用中选择存储在OneDrive中的文件。
近日,安全研究人员发现该组件存在重大安全漏洞,导致数百万用户面临未授权数据访问风险。该漏洞允许第三方网络应用获取用户整个OneDrive存储的完全访问权限,而非仅限于选定文件。
安全研究人员于2025年5月28日报告称,该漏洞源于过宽的OAuth授权范围和具有误导性的同意界面,未能清晰传达所授予的访问权限范围。
此OneDrive文件选择器漏洞影响数百个广泛使用的网络应用,包括ChatGPT、Slack、Trello和ClickUp,可能使数百万用户面临风险。
二、漏洞技术原理
该漏洞源于文件选择器对OAuth授权范围的实现过于宽泛。即使用户仅打算上传或共享单个文件,系统仍会请求File Access.Read.All或Files.ReadWrite.All等全局权限。
与提供细粒度OAuth授权范围(如drive.file)的Google Drive不同,微软的实现方式会授予对OneDrive所有内容的无限制访问权限。Dropbox采用更安全的Chooser SDK方案,通过专有端点完全避免了OAuth流程。
向用户展示的同意对话框尤其存在问题,它未明确告知点击操作将授予集成方访问用户OneDrive中所有文件和文件夹的权限,而不仅限于用户想要共享的文档。
报告指出,不同版本OneDrive文件选择器的不安全令牌存储方式进一步加剧了安全风险。旧版本(6.0-7.2)使用隐式认证流程,导致敏感访问令牌暴露在URL片段中或不安全地存储在浏览器localStorage中。
最新版本(8.0)要求开发者使用微软认证库(MSAL)处理认证,但仍以明文形式在会话存储中保存令牌。MSAL授权流程实现还存在额外漏洞,可能签发刷新令牌(Refresh Tokens),使访问期限超出典型的一小时令牌有效期。
这些长期有效的令牌若未经加密就缓存在localStorage或后端数据库中,将为攻击者提供持续访问整个OneDrive存储库的攻击途径。
技术实现上,开发者需要通过委托权限请求MyFiles.Read、Sites.Read.All或Files.ReadWrite.All等权限,但由于缺乏文件级权限设置,无法将访问限制在特定文档。
三、微软回应
微软已确认收到安全报告,表示"未来可能会考虑改进",但未提供具体时间表。
四、缓解措施
安全专家建议用户和组织立即采取行动降低风险。
对于个人用户,专家建议通过微软账户隐私设置审查第三方应用访问权限,并撤销不必要的授权。企业组织应实施管理员同意策略或条件访问控制,阻止请求超出Files.Read权限的应用。
网络应用开发者应避免请求会生成刷新令牌的离线访问范围,并实施安全的令牌存储实践。此外,安全团队应监控Graph API和云访问安全代理(CASB)日志中的异常OneDrive访问模式。
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末注有出处,其内容及图片版权均属于原网站或作者本人,本公众号对此不持立场,若有无意侵权或转载不当之处请联系我们处理!文章来源:https://www.freebuf.com/articles/database/432802.html
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:互联网
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照