นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบช่องโหว่ด้านความปลอดภัยใน File Picker ของ Microsoft OneDrive ซึ่งหากถูกโจมตีสำเร็จ อาจทำให้เว็บไซต์ต่าง ๆ สามารถเข้าถึงเนื้อหาทั้งหมดในพื้นที่จัดเก็บข้อมูลบนคลาวด์ของผู้ใช้ได้ แทนที่จะเข้าถึงเฉพาะไฟล์ที่ผู้ใช้เลือกอัปโหลดผ่านเครื่องมือนี้เท่านั้น
ทีมวิจัย Oasis ได้ให้ข้อมูลกับ The Hacker News โดยระบุว่า "ปัญหานี้เกิดจาก OAuth scopes ที่กว้างเกินไป และหน้าจอขอความยินยอมที่ทำให้เข้าใจผิด โดยไม่ได้อธิบายอย่างชัดเจนถึงขอบเขตการเข้าถึงที่กำลังจะได้รับอนุญาต และช่องโหว่นี้อาจนำไปสู่ผลกระทบร้ายแรง รวมถึงการรั่วไหลของข้อมูลลูกค้า และการละเมิดกฎระเบียบด้านการปฏิบัติตามข้อกำหนด"
มีการประเมินว่าแอปพลิเคชันหลายตัวได้รับผลกระทบจากช่องโหว่นี้ เช่น ChatGPT, Slack, Trello และ ClickUp เนื่องจากแอปเหล่านี้มีการเชื่อมต่อกับบริการคลาวด์ของ Microsoft
Oasis ระบุว่า ปัญหานี้เกิดจากการขอสิทธิ์ที่มากเกินความจำเป็นของ OneDrive File Picker ซึ่งเป็นการร้องขอสิทธิ์ในการอ่านข้อมูลทั้งหมดในไดรฟ์ แม้แต่ในกรณีที่มีการอัปโหลดเพียงไฟล์เดียวก็ตาม เนื่องจาก OneDrive ไม่มี OAuth scopes ที่ละเอียดเพียงพอ
ยิ่งไปกว่านั้น ข้อความแจ้งเตือนเพื่อขอความยินยอมที่แสดงต่อผู้ใช้ก่อนการอัปโหลดไฟล์นั้นยังมีเนื้อหาที่คลุมเครือ และไม่ได้สื่อถึงระดับการเข้าถึงที่จะได้รับอย่างเพียงพอ ด้วยเหตุนี้จึงทำให้ผู้ใช้เผชิญกับความเสี่ยงด้านความปลอดภัยโดยไม่รู้ตัว
Oasis ยังระบุอีกว่า "การที่ไม่มีการกำหนดขอบเขตสิทธิ์ที่ละเอียด ทำให้ผู้ใช้ไม่สามารถแยกแยะระหว่างแอปพลิเคชันที่เป็นอันตรายที่กำลังพยายามเข้าถึงไฟล์ทั้งหมด หรือกับแอปพลิเคชันที่น่าเชื่อถือแต่จำเป็นต้องขอสิทธิ์มากเกินไปเพียงเพราะไม่มีตัวเลือกอื่นที่ปลอดภัยไปมากกว่านี้แล้ว"
บริษัทด้านความปลอดภัยยังแสดงให้เห็นเพิ่มเติมว่า OAuth tokens ที่ใช้สำหรับการอนุญาตการเข้าถึงมักถูกจัดเก็บอย่างไม่ปลอดภัย โดย tokens เหล่านี้ถูกบันทึกไว้ใน session storage ของเบราว์เซอร์ในรูปแบบของ plaintext
ข้อผิดพลาดที่อาจเกิดขึ้นอีกประการหนึ่งคือ กระบวนการขออนุญาตการเข้าถึง (authorization workflows) อาจเกี่ยวข้องกับการออก refresh token ด้วย ซึ่งทำให้แอปพลิเคชันสามารถเข้าถึงข้อมูลผู้ใช้ได้อย่างต่อเนื่อง โดยอนุญาตให้แอปพลิเคชันนั้นขอ token การเข้าถึงใหม่ได้โดยไม่จำเป็นต้องให้ผู้ใช้ลงชื่อเข้าใช้อีกครั้งเมื่อ token ปัจจุบันหมดอายุ
หลังจากมีการเปิดเผยช่องโหว่ดังกล่าว ทาง Microsoft ได้รับทราบถึงปัญหานี้แล้ว แม้ว่าจะยังไม่มีการแก้ไขใด ๆ ในระหว่างนี้ แนะนำให้พิจารณาปิดการใช้งานฟังก์ชันอัปโหลดไฟล์ผ่าน OneDrive ด้วย OAuth ชั่วคราว จนกว่าจะมีทางเลือกที่ปลอดภัย หรืออีกทางหนึ่งคือ ควรหลีกเลี่ยงการใช้ refresh token และจัดเก็บ access token อย่างปลอดภัย รวมถึงลบทิ้งเมื่อไม่จำเป็นต้องใช้งานอีกต่อไป
Oasis ได้ระบุเพิ่มเติมว่า "การไม่มี OAuth scopes ที่ละเอียดพอ ประกอบกับหน้าต่างการแจ้งเตือนผู้ใช้ที่คลุมเครือของ Microsoft เป็นการผสมผสานที่อันตราย ซึ่งทำให้ทั้งผู้ใช้ทั่วไป และผู้ใช้ระดับองค์กรตกอยู่ในความเสี่ยง"
"การค้นพบครั้งนี้ตอกย้ำถึงความสำคัญของการเฝ้าระวังอย่างต่อเนื่องในการจัดการ OAuth scopes, การประเมินความปลอดภัยอย่างสม่ำเสมอ และการติดตามเชิงรุกเพื่อปกป้องข้อมูลของผู้ใช้"
ที่มา : thehackernews
You must be logged in to post a comment.