Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Платформа OneDrive от Microsoft содержит уязвимость, связанную с механизмом выбора файлов

29/05/25

onedrive

Проблема затрагивает интеграции с популярными сервисами и может привести к серьёзным утечкам данных, поскольку позволяет злоумышленникам получить доступ ко всему облачному хранилищу пользователя, а не только к выбранным файлам.

По данным команды Oasis, уязвимость связана с тем, как реализованы разрешения OAuth при использовании OneDrive File Picker. Инструмент требует доступа ко всему хранилищу, даже если пользователь загружает всего один файл. Такая избыточность возникает из-за отсутствия гибких уровней доступа в рамках протокола OAuth для OneDrive, пишет Securitylab.

Дополнительную угрозу представляет форма согласия, которую видит пользователь перед загрузкой. Она не объясняет, насколько обширные права получает приложение, и таким образом не даёт возможности оценить риски. Это особенно опасно в случаях, когда доступ запрашивается через сторонние платформы, включая ChatGPT, Slack, Trello и ClickUp, использующие облачные сервисы Microsoft.

Также выявлено, что токены доступа, предоставляющие приложениям полномочия, часто сохраняются в браузере в открытом виде. Это нарушает базовые принципы защиты данных и может быть использовано для несанкционированного получения информации. Вдобавок, если в процессе авторизации применяется Refresh Token, приложение может сохранять доступ к аккаунту без дополнительного входа пользователя даже после истечения срока действия основного ключа.

Microsoft признала существование проблемы после обращения специалистов, однако надёжного способа устранения пока не предложено. До выхода безопасного решения рекомендуется временно отказаться от загрузки файлов через OneDrive с использованием OAuth или хотя бы избегать работы с Refresh Token и удалять ключи доступа сразу после использования.

Представители компании Oasis подчёркивают, что выявленная комбинация из неконкретной формы запроса доступа и отсутствия ограничений на уровне OAuth создаёт угрозу не только для обычных пользователей, но и для корпоративных клиентов. 

Темы:MicrosoftУгрозыOasis
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...