اكتشف فريق Oasis Research Team ثغرة أمنية في أداة مُحدد ملفات OneDrive (OneDrive File Picker) تسمح للمواقع الإلكترونية بالوصول إلى جميع محتويات التخزين السحابي للمستخدم، وليس فقط الملفات المحددة للرفع.
كيف تعمل الثغرة؟
-
تُمنح التطبيقات صلاحيات OAuth واسعة جدًا دون توضيح كافي للمستخدم.
-
حتى عند رفع ملف واحد فقط، قد يحصل التطبيق على إذن قراءة كامل محرك OneDrive.
-
واجهة طلب الإذن غير واضحة ولا تُظهر للمستخدم مدى الصلاحيات الممنوحة.
تطبيقات متأثرة بهذه الثغرة
تشمل بعض التطبيقات التي قد تكون معرضة للخطر:
-
ChatGPT
-
Slack
-
Trello
-
ClickUp
وغيرها من التطبيقات المتكاملة مع OneDrive.
مخاطر الثغرة الأمنية
-
تسرب البيانات: قد تصل التطبيقات الضارة إلى جميع ملفات المستخدم في السحابة.
-
مخاطر الامتثال: انتهاك لوائح حماية البيانات مثل GDPR.
-
تخزين غير آمن: تُحفظ tokens OAuth كنص عادي في متصفح المستخدم.
-
صلاحيات دائمة: بعض التطبيقات تحصل على refresh tokens تمنحها وصولاً مستمرًا دون إعادة مصادقة.
ما الحل حتى إصلاح الثغرة؟
– تجنب رفع الملفات عبر OneDrive باستخدام OAuth مؤقتًا.
– حذف tokens الوصول بعد الانتهاء من استخدام التطبيقات.
–تعطيل refresh tokens عند الإمكان.
-مراجعة التطبيقات المتصلة بحساب OneDrive وإزالة غير الموثوقة.
رد فعل Microsoft
أقرت مايكروسوفت بالمشكلة بعد الإبلاغ المسؤول، لكنها لم تطرح إصلاحًا بعد. يُنصح المستخدمون باتخاذ إجراءات وقائية حتى إصدار التحديث الأمني.
