Siber güvenlik araştırmacıları, Microsoft’un OneDrive dosya seçicisinde, başarılı bir şekilde kullanılırsa, web sitelerinin yalnızca araç aracılığıyla yükleme için seçilen dosyaların aksine bir kullanıcının tüm bulut depolama içeriğine erişmesine izin verebilecek bir güvenlik kusuru keşfettiler.
Hacker News ile paylaşılan bir raporda, “Bu aşırı geniş OAuth kapsamları ve verilen erişimin derecesini açıkça açıklayamayan yanıltıcı rıza ekranlarından kaynaklanıyor.” Dedi. Diyerek şöyle devam etti: “Bu kusurun müşteri verileri sızıntısı ve uyum düzenlemelerinin ihlali de dahil olmak üzere ciddi sonuçları olabilir.”
Microsoft’un bulut hizmetiyle entegrasyonları göz önüne alındığında, ChatGPT, Slack, Trello ve Clickup gibi birkaç uygulamanın etkilendiği değerlendirilir.
Oasis, sorunun, OneDrive için ince taneli OAuth kapsamlarının olmaması nedeniyle sadece tek bir dosya yüklenmesi durumunda bile, tüm sürücüye okumayı okumaya çalışan OneDrive dosya seçici tarafından talep edilen aşırı izinlerin sonucu olduğunu söyledi.
Birleştirme konularında, onay istemi kullanıcılarına bir dosya yüklemeden önce sunulur ve verilen erişim seviyesini yeterince iletmez, böylece kullanıcıları beklenmedik güvenlik risklerine maruz bırakır.
Oasis, “İnce taneli kapsamların olmaması, kullanıcıların sadece başka güvenli bir seçenek olmadığı için aşırı izinler isteyen tüm dosyaları ve meşru uygulamaları hedefleyen kötü amaçlı uygulamaları ayırt etmelerini imkansız hale getiriyor.”
New York merkezli güvenlik şirketi ayrıca, erişime yetki vermek için kullanılan OAuth jetonlarının sıklıkla güvensiz olarak saklandığını ve tarayıcının oturum depolamasında düz metin biçiminde kaydedildiklerini belirtti.
Başka bir potansiyel tuzak, yetkilendirme iş akışlarının ayrıca bir yenileme jetonu verilmesini, uygulamaya kullanıcıdan mevcut token sona erdiğinde tekrar giriş yapmasını istemeden yeni erişim belirteçleri almasına izin vererek kullanıcı verilerine devam edebilmesidir.
Sorumlu açıklamanın ardından Microsoft, henüz bir düzeltme olmamasına rağmen sorunu kabul etti. Bu arada, güvenli bir alternatif mevcut olana kadar OAuth üzerinden OneDrive kullanarak dosyaları yükleme seçeneğini geçici olarak kaldırmayı düşünmeye değer. Alternatif olarak, yenileme jetonlarını kullanmaktan kaçınmanız ve erişim belirteçlerini güvenli bir şekilde saklamanız ve artık gerekmediğinde bunlardan kurtulmanız önerilir.
Hacker News, daha fazla yorum için Microsoft’a ulaştı ve tekrar duyarsak hikayeyi güncelleyeceğiz.
Oasis, “Microsoft’un belirsiz kullanıcı istemi ile birlikte ince taneli OAuth Scopes eksikliği, hem kişisel hem de kurumsal kullanıcıları riske atan tehlikeli bir kombinasyondur.” Dedi. “Bu keşif, OAuth kapsam yönetimi, düzenli güvenlik değerlendirmeleri ve kullanıcı verilerini korumak için proaktif izlemede sürekli uyanıklığın önemini güçlendiriyor.”