InforSec News: Cảnh báo lỗ hổng OneDrive File Picker - Nguy cơ lộ toàn bộ dữ liệu đám mây

Top Block Position

Cảnh báo lỗ hổng OneDrive File Picker - Nguy cơ lộ toàn bộ dữ liệu đám mây

Các chuyên gia an ninh mạng vừa phát hiện một lỗ hổng bảo mật nghiêm trọng trong OneDrive File Picker của Microsoft! Nếu bị khai thác, lỗ hổng này có thể cho phép các trang web truy cập toàn bộ nội dung lưu trữ đám mây của người dùng, thay vì chỉ các tệp được chọn để tải lên.

Vấn đề nằm ở đâu?

Nguyên nhân chính là do phạm vi ủy quyền OAuth quá rộng và các màn hình đồng ý không rõ ràng, khiến người dùng không hiểu mức độ truy cập mà họ đang cấp.

Hậu quả nghiêm trọng:

Rò rỉ dữ liệu khách hàng quy mô lớn.
Vi phạm các quy định tuân thủ về bảo mật dữ liệu.
Một số ứng dụng phổ biến như Chats, Slack, Trello, và Clickup có tích hợp với Microsoft OneDrive cũng bị ảnh hưởng.

Tại sao đây là mối lo ngại lớn?

Việc thiếu phạm vi ủy quyền chi tiết khiến người dùng khó phân biệt giữa một ứng dụng độc hại muốn truy cập tất cả tệp và một ứng dụng hợp pháp chỉ yêu cầu quyền cơ bản. Thêm vào đó, các token OAuth dùng để ủy quyền truy cập thường được lưu trữ không an toàn trong bộ nhớ phiên của trình duyệt dưới dạng văn bản rõ ràng. Quy trình ủy quyền còn có thể cấp cho ứng dụng quyền truy cập liên tục vào dữ liệu người dùng thông qua token làm mới, mà không cần người dùng đăng nhập lại.

Microsoft đã thừa nhận vấn đề nhưng chưa có bản sửa lỗi ngay lập tức.

Khuyến nghị và giải pháp tạm thời:

Tạm thời xóa tùy chọn tải lên tệp bằng OneDrive thông qua OAuth cho đến khi có giải pháp an toàn hơn.
Tránh sử dụng token làm mới nếu có thể.
Lưu trữ token truy cập một cách an toàn và loại bỏ chúng khi không còn cần thiết.

Sự kết hợp giữa phạm vi OAuth thiếu chi tiết và lời nhắc người dùng mơ hồ của Microsoft đang tạo ra rủi ro cho cả người dùng cá nhân và doanh nghiệp. Phát hiện này nhấn mạnh tầm quan trọng của việc cảnh giác liên tục trong quản lý phạm vi OAuth, đánh giá bảo mật thường xuyên và giám sát chủ động để bảo vệ dữ liệu người dùng.

Bạn cần trợ giúp bảo vệ dữ liệu đám mây của mình?

Hãy liên hệ với chúng tôi để được tư vấn các giải pháp An toàn thông tin mạng toàn diện, giúp doanh nghiệp bạn giảm thiểu rủi ro và bảo vệ tài sản số quý giá.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Máy tính để bàn ảo VDI.
Lưu trữ dữ liệu Drive.
Quản lý dịch vụ công nghệ thông tin ITSM.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học