一、漏洞概述

OneDrive文件選擇器(File Picker)是微軟云存儲服務(wù)的關(guān)鍵組件，允許用戶在各類應(yīng)用中選擇存儲在OneDrive中的文件。

近日，安全研究人員發(fā)現(xiàn)該組件存在重大安全漏洞，導(dǎo)致數(shù)百萬用戶面臨未授權(quán)數(shù)據(jù)訪問風(fēng)險。該漏洞允許第三方網(wǎng)絡(luò)應(yīng)用獲取用戶整個OneDrive存儲的完全訪問權(quán)限，而非僅限于選定文件。

安全研究人員于2025年5月28日報告稱，該漏洞源于過寬的OAuth授權(quán)范圍和具有誤導(dǎo)性的同意界面，未能清晰傳達(dá)所授予的訪問權(quán)限范圍。

此OneDrive文件選擇器漏洞影響數(shù)百個廣泛使用的網(wǎng)絡(luò)應(yīng)用，包括ChatGPT、Slack、Trello和ClickUp，可能使數(shù)百萬用戶面臨風(fēng)險。

二、漏洞技術(shù)原理

該漏洞源于文件選擇器對OAuth授權(quán)范圍的實現(xiàn)過于寬泛。即使用戶僅打算上傳或共享單個文件，系統(tǒng)仍會請求File Access.Read.All或Files.ReadWrite.All等全局權(quán)限。

與提供細(xì)粒度OAuth授權(quán)范圍（如drive.file）的Google Drive不同，微軟的實現(xiàn)方式會授予對OneDrive所有內(nèi)容的無限制訪問權(quán)限。Dropbox采用更安全的Chooser SDK方案，通過專有端點完全避免了OAuth流程。

向用戶展示的同意對話框尤其存在問題，它未明確告知點擊操作將授予集成方訪問用戶OneDrive中所有文件和文件夾的權(quán)限，而不僅限于用戶想要共享的文檔。

報告指出，不同版本OneDrive文件選擇器的不安全令牌存儲方式進(jìn)一步加劇了安全風(fēng)險。舊版本（6.0-7.2）使用隱式認(rèn)證流程，導(dǎo)致敏感訪問令牌暴露在URL片段中或不安全地存儲在瀏覽器localStorage中。

最新版本（8.0）要求開發(fā)者使用微軟認(rèn)證庫（MSAL）處理認(rèn)證，但仍以明文形式在會話存儲中保存令牌。MSAL授權(quán)流程實現(xiàn)還存在額外漏洞，可能簽發(fā)刷新令牌（Refresh Tokens），使訪問期限超出典型的一小時令牌有效期。

這些長期有效的令牌若未經(jīng)加密就緩存在localStorage或后端數(shù)據(jù)庫中，將為攻擊者提供持續(xù)訪問整個OneDrive存儲庫的攻擊途徑。

技術(shù)實現(xiàn)上，開發(fā)者需要通過委托權(quán)限請求MyFiles.Read、Sites.Read.All或Files.ReadWrite.All等權(quán)限，但由于缺乏文件級權(quán)限設(shè)置，無法將訪問限制在特定文檔。

三、微軟回應(yīng)

微軟已確認(rèn)收到安全報告，表示"未來可能會考慮改進(jìn)"，但未提供具體時間表。

四、緩解措施

安全專家建議用戶和組織立即采取行動降低風(fēng)險。

對于個人用戶，專家建議通過微軟賬戶隱私設(shè)置審查第三方應(yīng)用訪問權(quán)限，并撤銷不必要的授權(quán)。企業(yè)組織應(yīng)實施管理員同意策略或條件訪問控制，阻止請求超出Files.Read權(quán)限的應(yīng)用。

網(wǎng)絡(luò)應(yīng)用開發(fā)者應(yīng)避免請求會生成刷新令牌的離線訪問范圍，并實施安全的令牌存儲實踐。此外，安全團(tuán)隊?wèi)?yīng)監(jiān)控Graph API和云訪問安全代理（CASB）日志中的異常OneDrive訪問模式。

本公眾號發(fā)布的文章均轉(zhuǎn)載自互聯(lián)網(wǎng)或經(jīng)作者投稿授權(quán)的原創(chuàng)，文末注有出處，其內(nèi)容及圖片版權(quán)均屬于原網(wǎng)站或作者本人，本公眾號對此不持立場，若有無意侵權(quán)或轉(zhuǎn)載不當(dāng)之處請聯(lián)系我們處理！文章來源：https://www.freebuf.com/articles/database/432802.html

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明