Les utilisateurs pourraient potentiellement permettre l’accès à l’ensemble du lecteur en raison de la façon dont Microsoft implémente OAuth dans OneDrive File Picker.
L’utilisation de Microsoft OneDrive pour télécharger un fichier sur Chatgpt, Slack ou Zoom pourrait conduire à un utilisateur remettant l’accès à plus qu’un simple fichier.
Selon une recherche OASIS Security, les applications utilisant le sélecteur de fichiers OneDrive officiel de Microsoft peuvent obtenir un accès complet en lecture à un compte OneDrive en plus de l’accès en écriture, dans certaines circonstances.
« Le problème de base ici est avec le sélecteur de fichiers OneDrive de Microsoft, qui demande un large accès à OneDrive d’un utilisateur – même lorsque l’utilisateur essaie simplement de télécharger un seul fichier », a déclaré Vijay Dilwale, consultant principal de sécurité chez Black Duck. « L’expérience utilisateur donne l’impression que seul le fichier sélectionné est partagé, mais en réalité, l’application obtient souvent un accès complet (et parfois écrire) à tout. »
OneDrive File Picker est un outil fourni par Microsoft qui permet aux sites Web et aux applications Web de s’intègre avec un compte OneDrive d’un utilisateur pour permettre le téléchargement, la navigation et la sélection des fichiers OneDrive directement dans l’application.
Un piège OAuth trop privilégié
Cet accès large découle d’une limitation de la mise en œuvre de Microsoft dans le cueilleur de fichiers que les chercheurs ont décrit comme «un manque d’autorisations à grain fin».
Jason Soroko, chercheur principal à Sectigo, appelle la surveillance un piège Oauth trop privilégié. « Le sélecteur de fichiers OneDrive de Microsoft encourage les applications Web tierces pour demander des fichiers larges », a-t-il déclaré. «Une fois émis, ces jetons à longue durée de vie sont souvent mis en cache dans les bases de données locales ou back-end sans cryptage, permettant potentiellement aux attaquants de parcourir les données d’un locataire entier.»
La mise en œuvre de l’implémentation de Fichier Picker ONEDRIVE demande de grandes étendues, au lieu de lunettes de niveau de fichiers à grain fin, permettant aux utilisateurs et aux développeurs de restreindre l’accès aux fichiers uniquement sélectionnés explicitement.
Selon Oasis, toutes les versions des autorisations de demande de sélecteur de fichiers OneDrive qui leur permettent de lire l’ensemble du lecteur OneDrive de l’utilisateur pour le processus «Télécharger» et d’écrire n’importe où sur le lecteur du processus «Télécharger».
Cependant, la version 7.0 du sélecteur de fichiers dans des demandes spécifiques à la fois lus et écrivez des autorisations pour le processus de téléchargement.
« L’absence de portée à grains fins pour le cas d’utilisation du sélecteur de fichiers rend impossible pour les utilisateurs de faire la distinction entre les applications malveillantes qui ciblent tous vos fichiers et applications légitimes qui demandent des autorisations excessives simplement parce qu’il n’y a pas d’autre option sécurisée », ont déclaré les chercheurs dans un article de blog.
Les fournisseurs d’applications Web ne sont pas décrochés
Cela pourrait être une mauvaise nouvelle pour les équipes de sécurité, selon Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security. « Les secrets sensibles requis pour cet accès sont souvent stockés par défaut par défaut », a déclaré Schwake. « Cette situation présente un défi de sécurité API clé pour les équipes de sécurité, et avec des services tels que ChatGpt en fonction des API pour accéder et gérer les données des utilisateurs, cela présente un risque encore plus grand. »
Une application Web tierce qui se retrouve avec des données utilisateur «involontaires» en raison de cette situation devient une cible pour les acteurs de la menace et pourrait potentiellement exécuter les règles de conformité en cas de conformité simplement en ayant ce niveau d’accès.
Oasis note que des applications telles que ChatGPT (utilise du sélecteur de fichiers V8.0), Clickup, Trello, Zoom et Slack sont potentiellement affectées. Même des applications comme Phenome, un outil de recrutement, pourraient involontairement exposer les fichiers confidentiels si les utilisateurs téléchargent des curriculum vitae à partir de comptes d’entreprise.
«Les fournisseurs qui développent des applications Web sont à risque, car les incidents de sécurité pourraient entraîner de graves conséquences, fuyant de nombreux fichiers de nombreux utilisateurs», ont noté les chercheurs de l’OASIS.
Certaines étapes sont essentielles tandis que Microsoft examine le problème
Oasis a indiqué qu’il avait contacté Microsoft, qui a reconnu le rapport et indiqué qu’il pourrait envisager d’améliorer à l’avenir.
Microsoft n’a pas répondu aux questions sur le problème.
En attendant, Oasis a recommandé quelques étapes d’atténuation pour les applications Web, qui incluent la suppression de l’option de téléchargement de fichiers à l’aide de OneDrive via OAuth jusqu’à ce que Microsoft le corrige et l’exploration de solutions de contournement plus simples comme la prise en charge des liens de fichiers «afficher uniquement» partagés à partir de OneDrive.
Oasis a également noté que les solutions de sélecteur de fichiers sur d’autres services d’hébergement de fichiers telles que Google Drive et Dropbox peuvent également être utilisées comme alternative car elles ne souffrent pas de ce problème.
« Les utilisateurs doivent supposer que chaque plug-in SaaS qu’ils autorisent a les clés de leurs joyaux de la Couronne personnelle ou d’entreprise, sauf cas où le contraire », a déclaré Soroko. «Les équipes de sécurité doivent appliquer les politiques« consentement d’administration »ou d’accès conditionnel qui bloquent les applications demandant quoi que ce soit au-delà des fichiers.read.» Schwake a ajouté que la gouvernance API plus forte pour garantir que toutes les autorisations d’API sont méticuleusement gérées, ce qui comprend des privilèges le moins et une manipulation sécurisée des jetons, est nécessaire pour éviter une vaste exposition aux données.
