Aplicativos como ChatGPT e Trello podem acessar toda a sua nuvem no OneDrive via File Picker da Microsoft, mesmo ao fazer upload de apenas um arquivo

Pesquisadores de cibersegurança da Oasis Research Team descobriram uma vulnerabilidade crítica no OneDrive File Picker, ferramenta da Microsoft que permite a integração de aplicativos com o armazenamento em nuvem. A falha, se explorada por hackers, pode conceder a sites e aplicativos acesso total ao conteúdo da nuvem de um usuário, indo muito além do arquivo específico selecionado para upload. Essa exposição compromete a segurança de dados pessoais e corporativos, além de violar regulamentações de conformidade, como as de proteção de dados.

A origem do problema está nos escopos excessivamente amplos do protocolo OAuth utilizados pelo OneDrive File Picker. Segundo a Oasis, a ferramenta solicita permissões de leitura para todo o drive do usuário, mesmo quando o objetivo é apenas o upload de um único arquivo. Isso ocorre devido à ausência de escopos OAuth mais granulares, que poderiam limitar o acesso ao estritamente necessário. Além disso, a tela de consentimento exibida aos usuários antes do upload é ambígua e não informa claramente o nível de acesso que está sendo autorizado, induzindo-os a conceder permissões sem compreender os riscos envolvidos.

A vulnerabilidade afeta diversos aplicativos populares que se integram ao OneDrive, como ChatGPT, Slack, Trello e ClickUp, ampliando o alcance do problema. A Oasis destacou que a falta de escopos específicos impede os usuários de diferenciar entre aplicativos legítimos, que solicitam permissões excessivas por falta de opções mais seguras, e aplicativos maliciosos, que podem intencionalmente buscar acesso a todos os arquivos. "Essa falha cria um ambiente propício para ataques que podem resultar em vazamentos de dados massivos", alertaram os pesquisadores.

Outro ponto crítico identificado é a forma como os tokens OAuth, usados para autorizar o acesso, são gerenciados. Muitas vezes, esses tokens são armazenados de maneira insegura no session storage do navegador, em formato de texto simples, facilitando sua interceptação por invasores. Além disso, em alguns casos, o fluxo de autorização inclui a emissão de tokens de atualização (refresh tokens), que permitem ao aplicativo obter novos tokens de acesso sem exigir um novo login do usuário, garantindo acesso contínuo e prolongado aos dados, mesmo após o término da sessão inicial.

Após a divulgação responsável da vulnerabilidade, a Microsoft reconheceu o problema, mas ainda não implementou uma correção definitiva. Como medida temporária, os especialistas recomendam que os usuários desativem a opção de upload de arquivos via OneDrive em aplicativos que utilizam OAuth até que uma solução segura seja disponibilizada. Alternativamente, sugerem evitar o uso de refresh tokens, armazenar os tokens de acesso de forma segura e eliminá-los quando não forem mais necessários.

A Oasis enfatizou que a combinação entre a falta de escopos OAuth granulares e a comunicação pouco clara da Microsoft na tela de consentimento representa um risco significativo para usuários individuais e corporativos. "Essa descoberta reforça a necessidade de vigilância contínua na gestão de escopos OAuth, avaliações regulares de segurança e monitoramento proativo para proteger os dados dos usuários", afirmou a equipe. A falha serve como um alerta para empresas e desenvolvedores sobre a importância de adotar práticas mais seguras em integrações com serviços em nuvem.

Via - THN