Các nhà nghiên cứu bảo mật đã tìm thấy một lỗ hổng nghiêm trọng trong OneDrive. Bất kỳ ai sử dụng ứng dụng được kết nối của bạn đều có thể tải xuống hoặc xem tệp của người dùng ở chế độ chỉ đọc. Microsoft tuyên bố với sự bình tĩnh khá nghịch lý rằng vấn đề này, có liên quan sâu sắc đến thiết kế của dịch vụ, sẽ không được khắc phục ngay lập tức.
Bạn có sử dụng OneDrive và đã kết nối các ứng dụng hoặc nền tảng như ChatGPT, Slack và Trello với OneDrive không? Tin xấu cho mọi người đây... các nhà nghiên cứu vừa phát hiện ra một lỗi đặc biệt nghiêm trọng. Mọi tệp OneDrive của bạn, bao gồm cả những tệp nhạy cảm nhất, đều có thể bị người lạ tải xuống mà bạn không hề hay biết. Về phần mình, Microsoft có vẻ như quyết tâm không làm gì cả để bảo vệ người dùng.
Tuy nhiên, việc truy cập trực tiếp vào các vấn đề bảo mật này khá đáng sợ. Các nhà báo và nhân vật nổi tiếng có thể thấy mình rơi vào những tình huống rất nguy hiểm. Nhưng hiện tại, bạn sẽ phải chấp nhận... hoặc tìm nơi khác.
Do đó, các quyền được cấp cho các WebApp được kết nối ít nhất cũng để lại lỗ hổng khá nghiêm trọng này. Ngay khi mô-đun “File Picker” của OneDrive được các dịch vụ này sử dụng để tải lên một tệp duy nhất, nó sẽ yêu cầu quyền truy cập đọc vào toàn bộ ổ đĩa. Do không cung cấp cho OAuth khả năng hạn chế thêm quyền này.
Và điều tệ nhất là quyền truy cập này – hoàn toàn bỏ qua tính bảo mật của OneDrive – vẫn tồn tại trong nhiều trường hợp. Điều này là do mã thông báo đăng nhập OAuth có tuổi thọ khá dài. Nếu tin tặc muốn đánh cắp toàn bộ dữ liệu đám mây của mục tiêu, chúng có thể thực hiện điều đó một cách bí mật, mà không cần phải tấn công trực tiếp vào OneDrive ở bất kỳ thời điểm nào.
Thay vào đó, chúng có thể đột nhập vào một dịch vụ được kết nối với tài khoản. Có thể thực hiện bằng nhiều cách tương đối đơn giản và ít tốn kém. Từ đó, nó có thể truy cập và đánh cắp mọi thứ – với sự bình tĩnh như phản ứng của Microsoft, mà bạn sẽ khám phá ở phần sau.
Bây giờ, có lẽ bạn đang nghĩ rằng báo cáo này cho thấy các nhóm của Microsoft đang nỗ lực tìm ra giải pháp có thể chấp nhận được. Chúng tôi sẽ cho bạn đọc, mà không bình luận thêm, vài từ mà công ty đã trả lời tác giả của phát hiện này: “Microsoft đã ghi nhận báo cáo và có thể cân nhắc cải thiện trong tương lai.”Trước đây, người ta tưởng tượng, chúng ta sẽ quay lại tắm nắng trên ghế dài.
Vậy bạn có thể làm gì để quay lại các tiêu chuẩn bảo mật có thể chấp nhận được cho các tệp của mình trên đám mây? Rõ ràng là chúng tôi chỉ có thể khuyên bạn nên ngắt kết nối tất cả các WebApp được liên kết với OneDrive của bạn thông qua các trang cấu hình. Ngoài ra, sự không hành động như vậy trước một vấn đề cực kỳ nghiêm trọng dường như là không thể chấp nhận được. Đủ để thúc đẩy bạn chuyển toàn bộ dữ liệu của mình sang một đối thủ cạnh tranh cung cấp mức bảo mật cao hơn một chút.
Bạn có sử dụng OneDrive và đã kết nối các ứng dụng hoặc nền tảng như ChatGPT, Slack và Trello với OneDrive không? Tin xấu cho mọi người đây... các nhà nghiên cứu vừa phát hiện ra một lỗi đặc biệt nghiêm trọng. Mọi tệp OneDrive của bạn, bao gồm cả những tệp nhạy cảm nhất, đều có thể bị người lạ tải xuống mà bạn không hề hay biết. Về phần mình, Microsoft có vẻ như quyết tâm không làm gì cả để bảo vệ người dùng.
Tuy nhiên, việc truy cập trực tiếp vào các vấn đề bảo mật này khá đáng sợ. Các nhà báo và nhân vật nổi tiếng có thể thấy mình rơi vào những tình huống rất nguy hiểm. Nhưng hiện tại, bạn sẽ phải chấp nhận... hoặc tìm nơi khác.
Không phải mọi trường hợp đều được quyền truy cập OneDrive bảo vệ
Vấn đề cốt lõi nằm ở mô-đun OAuth chịu trách nhiệm quản lý quyền truy cập và các WebApp được kết nối với OneDrive của người dùng. Mô-đun cấp quyền thiếu tính chi tiết so với các dịch vụ cạnh tranh như DropBox và Google Drive.Do đó, các quyền được cấp cho các WebApp được kết nối ít nhất cũng để lại lỗ hổng khá nghiêm trọng này. Ngay khi mô-đun “File Picker” của OneDrive được các dịch vụ này sử dụng để tải lên một tệp duy nhất, nó sẽ yêu cầu quyền truy cập đọc vào toàn bộ ổ đĩa. Do không cung cấp cho OAuth khả năng hạn chế thêm quyền này.
Và điều tệ nhất là quyền truy cập này – hoàn toàn bỏ qua tính bảo mật của OneDrive – vẫn tồn tại trong nhiều trường hợp. Điều này là do mã thông báo đăng nhập OAuth có tuổi thọ khá dài. Nếu tin tặc muốn đánh cắp toàn bộ dữ liệu đám mây của mục tiêu, chúng có thể thực hiện điều đó một cách bí mật, mà không cần phải tấn công trực tiếp vào OneDrive ở bất kỳ thời điểm nào.
Thay vào đó, chúng có thể đột nhập vào một dịch vụ được kết nối với tài khoản. Có thể thực hiện bằng nhiều cách tương đối đơn giản và ít tốn kém. Từ đó, nó có thể truy cập và đánh cắp mọi thứ – với sự bình tĩnh như phản ứng của Microsoft, mà bạn sẽ khám phá ở phần sau.
Microsoft không thấy tính cấp thiết và không sửa chữa bất cứ điều gì
Việc khai thác bề mặt tấn công này không liên quan đến chi phí tài chính đáng kể. Và tội phạm mạng có hàng trăm ứng dụng web để sử dụng, tạo cho chúng rất nhiều cơ hội để thất bại. Có một chút của tất cả mọi thứ trong danh sách này; Nhưng tất cả các nền tảng phổ biến nhất (có khả năng được nạn nhân sử dụng) đều có ở đó. Bao gồm ChatGPT, Slack, Trello, Zoom và ClickUp.Bây giờ, có lẽ bạn đang nghĩ rằng báo cáo này cho thấy các nhóm của Microsoft đang nỗ lực tìm ra giải pháp có thể chấp nhận được. Chúng tôi sẽ cho bạn đọc, mà không bình luận thêm, vài từ mà công ty đã trả lời tác giả của phát hiện này: “Microsoft đã ghi nhận báo cáo và có thể cân nhắc cải thiện trong tương lai.”Trước đây, người ta tưởng tượng, chúng ta sẽ quay lại tắm nắng trên ghế dài.
Vậy bạn có thể làm gì để quay lại các tiêu chuẩn bảo mật có thể chấp nhận được cho các tệp của mình trên đám mây? Rõ ràng là chúng tôi chỉ có thể khuyên bạn nên ngắt kết nối tất cả các WebApp được liên kết với OneDrive của bạn thông qua các trang cấu hình. Ngoài ra, sự không hành động như vậy trước một vấn đề cực kỳ nghiêm trọng dường như là không thể chấp nhận được. Đủ để thúc đẩy bạn chuyển toàn bộ dữ liệu của mình sang một đối thủ cạnh tranh cung cấp mức bảo mật cao hơn một chút.
