一、漏洞概述

OneDrive文件選擇器(File Picker)是微軟云存儲(chǔ)服務(wù)的關(guān)鍵組件，允許用戶在各類應(yīng)用中選擇存儲(chǔ)在OneDrive中的文件。

近日，安全研究人員發(fā)現(xiàn)該組件存在重大安全漏洞，導(dǎo)致數(shù)百萬用戶面臨未授權(quán)數(shù)據(jù)訪問風(fēng)險(xiǎn)。該漏洞允許第三方網(wǎng)絡(luò)應(yīng)用獲取用戶整個(gè)OneDrive存儲(chǔ)的完全訪問權(quán)限，而非僅限于選定文件。

安全研究人員于2025年5月28日?qǐng)?bào)告稱，該漏洞源于過寬的OAuth授權(quán)范圍和具有誤導(dǎo)性的同意界面，未能清晰傳達(dá)所授予的訪問權(quán)限范圍。

此OneDrive文件選擇器漏洞影響數(shù)百個(gè)廣泛使用的網(wǎng)絡(luò)應(yīng)用，包括ChatGPT、Slack、Trello和ClickUp，可能使數(shù)百萬用戶面臨風(fēng)險(xiǎn)。

二、漏洞技術(shù)原理

該漏洞源于文件選擇器對(duì)OAuth授權(quán)范圍的實(shí)現(xiàn)過于寬泛。即使用戶僅打算上傳或共享單個(gè)文件，系統(tǒng)仍會(huì)請(qǐng)求File Access.Read.All或Files.ReadWrite.All等全局權(quán)限。

與提供細(xì)粒度OAuth授權(quán)范圍（如drive.file）的Google Drive不同，微軟的實(shí)現(xiàn)方式會(huì)授予對(duì)OneDrive所有內(nèi)容的無限制訪問權(quán)限。Dropbox采用更安全的Chooser SDK方案，通過專有端點(diǎn)完全避免了OAuth流程。

向用戶展示的同意對(duì)話框尤其存在問題，它未明確告知點(diǎn)擊操作將授予集成方訪問用戶OneDrive中所有文件和文件夾的權(quán)限，而不僅限于用戶想要共享的文檔。

報(bào)告指出，不同版本OneDrive文件選擇器的不安全令牌存儲(chǔ)方式進(jìn)一步加劇了安全風(fēng)險(xiǎn)。舊版本（6.0-7.2）使用隱式認(rèn)證流程，導(dǎo)致敏感訪問令牌暴露在URL片段中或不安全地存儲(chǔ)在瀏覽器localStorage中。

最新版本（8.0）要求開發(fā)者使用微軟認(rèn)證庫(kù)（MSAL）處理認(rèn)證，但仍以明文形式在會(huì)話存儲(chǔ)中保存令牌。MSAL授權(quán)流程實(shí)現(xiàn)還存在額外漏洞，可能簽發(fā)刷新令牌（Refresh Tokens），使訪問期限超出典型的一小時(shí)令牌有效期。

這些長(zhǎng)期有效的令牌若未經(jīng)加密就緩存在localStorage或后端數(shù)據(jù)庫(kù)中，將為攻擊者提供持續(xù)訪問整個(gè)OneDrive存儲(chǔ)庫(kù)的攻擊途徑。

技術(shù)實(shí)現(xiàn)上，開發(fā)者需要通過委托權(quán)限請(qǐng)求MyFiles.Read、Sites.Read.All或Files.ReadWrite.All等權(quán)限，但由于缺乏文件級(jí)權(quán)限設(shè)置，無法將訪問限制在特定文檔。

三、微軟回應(yīng)

微軟已確認(rèn)收到安全報(bào)告，表示"未來可能會(huì)考慮改進(jìn)"，但未提供具體時(shí)間表。

四、緩解措施

安全專家建議用戶和組織立即采取行動(dòng)降低風(fēng)險(xiǎn)。

對(duì)于個(gè)人用戶，專家建議通過微軟賬戶隱私設(shè)置審查第三方應(yīng)用訪問權(quán)限，并撤銷不必要的授權(quán)。企業(yè)組織應(yīng)實(shí)施管理員同意策略或條件訪問控制，阻止請(qǐng)求超出Files.Read權(quán)限的應(yīng)用。

網(wǎng)絡(luò)應(yīng)用開發(fā)者應(yīng)避免請(qǐng)求會(huì)生成刷新令牌的離線訪問范圍，并實(shí)施安全的令牌存儲(chǔ)實(shí)踐。此外，安全團(tuán)隊(duì)?wèi)?yīng)監(jiān)控Graph API和云訪問安全代理（CASB）日志中的異常OneDrive訪問模式。

本公眾號(hào)發(fā)布的文章均轉(zhuǎn)載自互聯(lián)網(wǎng)或經(jīng)作者投稿授權(quán)的原創(chuàng)，文末注有出處，其內(nèi)容及圖片版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號(hào)對(duì)此不持立場(chǎng)，若有無意侵權(quán)或轉(zhuǎn)載不當(dāng)之處請(qǐng)聯(lián)系我們處理！文章來源：https://www.freebuf.com/articles/database/432802.html

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明