Investigadores en ciberseguridad han identificado una vulnerabilidad en el selector de archivos de OneDrive de Microsoft que, si es aprovechada con éxito, permitiría a sitios web acceder a todo el contenido almacenado en la nube de un usuario, y no únicamente a los archivos seleccionados para cargar mediante esta herramienta.
«Esto se debe a permisos OAuth demasiado amplios y pantallas de consentimiento confusas que no explican claramente el nivel de acceso que se está otorgando. Esta falla podría tener consecuencias graves, como la filtración de datos de clientes y el incumplimiento de normativas de seguridad», explicó el equipo de investigación Oasis en un informe.
Se considera que múltiples aplicaciones podrían estar en riesgo, incluyendo ChatGPT, Slack, Trello y ClickUp, ya que están integradas con los servicios en la nube de Microsoft.
Según Oasis, el origen del problema radica en los permisos excesivos que solicita el selector de archivos de OneDrive, el cual pide acceso de lectura a todo el disco, incluso si el usuario solo desea subir un archivo. Esto ocurre debido a la falta de controles más específicos en los alcances de OAuth para OneDrive.
A esto se suma que la ventana de consentimiento que aparece antes de cargar un archivo es ambigua y no comunica con claridad el nivel de acceso que se está autorizando, lo cual deja a los usuarios expuestos a riesgos de seguridad imprevistos.
«La ausencia de alcances más específicos impide que los usuarios puedan distinguir entre aplicaciones maliciosas que buscan acceder a todos los archivos y aquellas legítimas que solicitan permisos excesivos simplemente porque no existe otra opción segura», añadió Oasis.
La empresa de seguridad con sede en Nueva York también destacó que los tokens OAuth utilizados para autorizar el acceso suelen almacenarse de forma insegura. Según indicaron, estos se guardan en texto plano dentro del almacenamiento de sesión del navegador.
Otro riesgo identificado es que los procesos de autorización pueden incluir la emisión de un refresh token, lo que permite a la aplicación mantener acceso continuo a los datos del usuario sin requerir que este vuelva a iniciar sesión cuando el token original expira.
Tras una divulgación responsable, Microsoft ha reconocido la existencia del problema, aunque por el momento no ha proporcionado una solución. Mientras tanto, se recomienda considerar deshabilitar temporalmente la opción de subir archivos a través de OneDrive utilizando OAuth, hasta que se disponga de una alternativa segura. Otra opción es evitar el uso de refresh tokens, almacenar los tokens de acceso de forma segura y eliminarlos una vez que ya no sean necesarios.
«La combinación de permisos OAuth poco específicos y una advertencia poco clara por parte de Microsoft representa una amenaza seria tanto para usuarios individuales como corporativos. Este hallazgo subraya la necesidad de mantener una vigilancia constante en la gestión de permisos OAuth, realizar evaluaciones de seguridad periódicas y establecer un monitoreo proactivo para proteger los datos de los usuarios», advirtió Oasis.
