Confiaste en OneDrive un documento, y ahora sabe dónde vive tu abuel
Mientras vigilabas la ventana, los hackers entraron por la puerta principal.
La plataforma OneDrive de Microsoft vuelve a estar en el centro de atención debido a una vulnerabilidad detectada en el mecanismo de selección de archivos. El problema afecta a integraciones con servicios populares y puede provocar filtraciones de datos graves, ya que permite a los atacantes acceder a todo el almacenamiento en la nube del usuario, y no solo a los archivos seleccionados.
Según datos del equipo de Oasis, la vulnerabilidad está relacionada con la implementación de permisos OAuth al utilizar OneDrive File Picker. La herramienta requiere acceso a todo el almacenamiento, incluso si el usuario sube solo un archivo. Esta redundancia se debe a la falta de niveles de acceso flexibles dentro del protocolo OAuth para OneDrive.
Una amenaza adicional la representa el formulario de consentimiento que ve el usuario antes de la carga. Este no explica cuán amplios son los permisos que obtiene la aplicación, y por lo tanto no permite evaluar los riesgos. Esto es especialmente peligroso en los casos en que se solicita acceso a través de plataformas de terceros, como ChatGPT, Slack, Trello y ClickUp, que utilizan servicios en la nube de Microsoft.
También se ha descubierto que los tokens de acceso, que otorgan permisos a las aplicaciones, a menudo se almacenan en el navegador en texto plano. Esto viola los principios básicos de protección de datos y puede ser utilizado para obtener información de forma no autorizada. Además, si en el proceso de autorización se utiliza un Refresh Token, la aplicación puede mantener el acceso a la cuenta sin una nueva autenticación del usuario incluso después de que expire la clave principal.
Microsoft reconoció la existencia del problema tras el aviso de los especialistas, sin embargo, aún no ha propuesto una solución confiable. Hasta que se publique una solución segura, se recomienda abstenerse temporalmente de subir archivos a través de OneDrive usando OAuth o al menos evitar el uso de Refresh Token y eliminar los tokens de acceso inmediatamente después de su uso.
Los representantes de la empresa Oasis destacan que la combinación identificada de un formulario de solicitud de acceso poco claro y la falta de restricciones a nivel de OAuth representa una amenaza no solo para los usuarios comunes, sino también para los clientes corporativos. Se vuelve a subrayar la necesidad de configurar cuidadosamente los permisos de acceso y mantener un control constante sobre los mecanismos de autorización.
¿Estás cansado de que Internet sepa todo sobre ti?