出典: Alex Photo Stock via Shutterstock
サードパーティのWebアプリを通じてファイルをアップロードし操作する数百万のOneDriveユーザーは、知らず知らずのうちにそれらのアプリにOneDriveストレージ全体への完全なアクセスを許可している可能性があります。
この問題の根本は、Oasis Securityの研究者によると、OneDriveファイルピッカーのOAuth権限にあり、多くのサードパーティアプリがユーザーのOneDriveアカウント内のすべてのコンテンツにアクセスできるようにしていることです。これには、Slack、Trello、ChatGPT、その他数百のアプリが含まれます。
過度に広範な権限
リスクを軽減するには、ユーザーは未検証のアプリにOneDriveへのアクセスを完全に拒否するか、そこに機密コンテンツを保存しないようにする必要があります。
“公式のOneDriveファイルピッカーの実装は、OneDriveの細かいOAuthスコープがないため、単一のファイルをアップロードする場合でもドライブ全体への読み取りアクセスを要求します。”とOasisは今週のレポートで述べています。”ユーザーはアップロードを完了する前に同意を求められますが、そのプロンプトの曖昧で不明確な言葉遣いは、与えられるアクセスレベルを伝えず、ユーザーを予期しないセキュリティリスクにさらします。”
この問題は、サードパーティアプリを使用してOneDriveとやり取りする組織にデータの露出やコンプライアンス違反のリスクをもたらします。攻撃者はこの弱点を悪用して、OneDrive内のデータを盗んだり、変更したり、暗号化することができます。
関連:DragonForceランサムウェアがサプライチェーン攻撃でMSPを襲撃
さらに懸念されるのは、OneDriveファイルピッカーの最新バージョンが、ブラウザに安全でない形で機密情報を保存するツールを通じてユーザー認証を処理するよう開発者に要求していることです。これにより、攻撃者がアクセスできる可能性があります。トークンにより、攻撃者が長期的にアクセスできるようになります。
MicrosoftはDark Readingのコメント要請にすぐには応じませんでした。Oasisによると、同社は問題を認識しており、将来的に問題を軽減するための改善を検討する可能性があります。
MicrosoftのOneDriveファイルピッカーは、開発者がOneDriveに保存されたファイルを選択、ダウンロード、保存、または共有するためのインターフェースをWebアプリケーションに作成するためのJavaScriptベースのツールです。Oasisが特定した問題は、ファイルピッカーのOAuth認証フローに存在します。TrelloのようなサードパーティアプリのユーザーがプロジェクトにOneDriveからファイルを添付したいとき、アプリにファイルへのアクセスを許可するよう求められます。
ユーザーは特定のファイルへのアクセスを許可していると思うかもしれませんが、実際にはOneDriveのクラウドストレージ全体へのアクセスを許可しています。セキュリティベンダーによると、同意ダイアログは特定のWebアプリに与えるアクセスの範囲を警告しません。
関連:PicusがCVEsを安全に優先順位を下げるための露出検証を開始
過度に許可されたアクセスのため、すべてのバージョンのOneDriveファイルピッカーは、ファイルアップロードシナリオでOneDrive全体を読み取ることができ、ファイルダウンロードシナリオではOneDriveストレージ全体に書き込むことができます。”簡単に言えば、OneDriveファイルピッカーを使用するWebアプリケーションは、アップロード/ダウンロードするファイルだけでなく、OneDrive全体にアクセスできます。さらに悪いことに、このアクセスはファイルのアップロードが完了した後も持続する可能性があります。”とOasisは述べています。
全か無かのアクセス
OneDriveファイルピッカーは、Microsoftがクラウドアプリに提供する機能と権限であり、ユーザーのOneDriveファイルにアクセスするためにアプリがユーザーのワークフローに統合したい場合に使用されます、とBlack Duckのアソシエイトプリンシパルセキュリティコンサルタント、ジェイミー・ブート氏は述べています。
“残念ながら、この欠陥は、ユーザーのOneDriveフォルダ内のファイルへのアクセスが、アプリケーションに対してすべてまたは何もないレベルのアクセスを与えることを意味するようです。ユーザーがこれらのアプリケーションの手の届かないと思っていたフォルダにあるプライベートまたは機密データへの露出を制限するような細かいアクセスではありません。”とブート氏は述べています。
関連:GitLabのAIアシスタントが開発者をコード盗難にさらす
この欠陥から保護するためには、組織はOneDriveフォルダに保存される情報の分類や感度を制限するか、このファイルピッカーを介してアクセスを要求する未検証のアプリをすべて禁止する必要があります、とブート氏は指摘しています。
Salt Securityのサイバーセキュリティ戦略ディレクター、エリック・シュウェイク氏は、Oasisが今週開示した問題を攻撃者が悪用する方法をいくつか考えています。 攻撃者は、統合されたWebアプリケーションを侵害してOneDriveへの完全な読み取りアクセスを得るために、過度に広範なOAuthスコープを使用する可能性があります。また、安全でない形で保存されたOAuthトークンが盗まれると、許可されていないAPIアクセスにつながる可能性があります。
“最悪の場合、悪意のある行為者がユーザーの完全なOneDriveへの完全な読み取りアクセスを取得し、個人または企業の機密文書を含む可能性があります。この許可されていないアクセスは長期間持続する可能性があります。”とシュウェイク氏は述べています。”OAuthトークンが安全でない形で保存され、盗まれた場合、攻撃者はそれを利用してユーザーを偽装してAPIリクエストを行い、すべてのOneDriveリソースを危険にさらす可能性があります。この状況はデータ漏洩やコンプライアンス規制の違反を引き起こす可能性があります。”
翻訳元: https://www.darkreading.com/application-security/hundreds-web-apps-full-access-onedrive-files