Microsoft’un OneDrive dosya seçicisindeki kritik bir güvenlik kusuru, milyonlarca kullanıcıyı yetkisiz veri erişimine maruz bırakarak üçüncü taraf web uygulamalarının yalnızca seçilen dosyalar yerine kullanıcıların tüm onedrive depolama alanına tam erişim kazanmasına izin verdi.
Oasis Security’den güvenlik araştırmacıları, 28 Mayıs 2025’te bu güvenlik açığının aşırı geniş OAuth kapsamlarından kaynaklandığını ve net bir şekilde verilen erişimin kapsamını iletemeyen yanıltıcı rıza ekranlarından kaynaklandığını bildirdi.
OneDrive Dosya Seçici Kususu, ChatGPT, Slack, Trello ve Tıklama gibi yüzlerce yaygın olarak kullanılan web uygulamalarını etkiler ve potansiyel olarak milyonlarca kullanıcıyı riske atar.
.png
)
OneDrive Dosya Seçici Güvenlik Açığı
Güvenlik açığı, seçicinin geniş dosya erişimini talep eden yetersiz OAuth Scope ayrıntılı olarak uygulanmasından kaynaklanır.
Google Drive gibi, Drive.file gibi ince taneli OAuth kapsamları sunan rakiplerin aksine, uygulama oluşturulan veya kullanıcı tarafından seçilen dosyalara erişimi kısıtlamak için Microsoft’un uygulaması tüm onedrive içeriğine sınırsız erişim sağlar.
Dropbox, OAuth akışlarını tamamen önleyen tescilli bir uç nokta kullanarak seçici SDK ile daha da güvenli bir yaklaşım kullanır.
Kullanıcılara sunulan onay iletişim kutusu, bir tıklamanın yalnızca paylaşmayı amaçladıkları belgeyi değil, entegratörün kullanıcının onedrive’sındaki her dosyaya ve klasöre erişimini sağladığı için özellikle sorunludur.
Oasis Güvenlik Raporu’nu okur.
Eski sürümler (6.0-7.2), URL parçalarında hassas erişim belirteçlerini açıklayan veya tarayıcı localStorage’da güvensiz bir şekilde saklayan örtük kimlik doğrulama akışlarını kullandı.
En son sürüm (8.0), geliştiricilerin Microsoft Kimlik Doğrulama Kütüphanesi’ni (MSAL) kullanarak kimlik doğrulamasını işlemelerini gerektirir, ancak yine de oitj depolamasında jetonları düz metinde depolar.
MSAL’ın yetkilendirme akışı uygulaması, tipik bir saatlik jeton sona ermenin ötesinde erişim sürelerini uzatan potansiyel olarak yenileme jetonları vererek ek güvenlik açıkları yaratır.
Bu uzun ömürlü jetonlar, şifreleme olmadan localstorage veya arka uç veritabanlarında önbelleğe alındığında, kötü niyetli aktörlerin tüm onedrive depolarına erişmesi için kalıcı saldırı vektörleri oluşturur.
Teknik uygulama, geliştiricilerin myfiles.read, sites.read.all veya files.readwrite.LL gibi izinler talep etmelerini gerektirir, ancak delegedilen izinler aracılığıyla, ancak dosya ile yerleştirilmiş izinlerin eksikliği, belirli belgelere erişimi sınırlamayı imkansız hale getirir.
Microsoft Yanıt
Microsoft güvenlik raporunu kabul etti ve belirli bir zaman çizelgesi sağlanmamış olsa da, “gelecekte iyileştirmeleri dikkate alabileceğini” belirtti.
Güvenlik uzmanları, riskleri azaltmak için hem kullanıcılardan hem de kuruluşlardan derhal işlem önermektedir.
Bireysel kullanıcılar için uzmanlar, Microsoft Hesap Gizlilik Ayarları aracılığıyla Üçüncü Taraf Uygulama Erişimini İncelemeyi ve Gereksiz İzinleri iptal etmeyi tavsiye eder.
Kuruluşlar, dosyaların ötesinde herhangi bir şey isteyen uygulamaları engelleyen yönetici onay politikaları veya koşullu erişim kontrolleri uygulamalıdır.
Web uygulama geliştiricileri, yenileme jetonları oluşturan çevrimdışı erişim kapsamları talep etmekten ve güvenli token depolama uygulamaları uygulamalarını istemeleri istenir.
Ayrıca, güvenlik ekipleri anormal onedrive erişim modelleri için Graph API ve Bulut Erişim Güvenlik Komisyoncusu (CASB) günlüklerini izlemelidir.
Derinlemesine sanal alan kötü amaçlı yazılım analizini deneyin Soc çayınızM. Herhangi birini alın. Özel Teklif Yalnızca 31 Mayıs’a kadar -> Burada deneyin