1. 科技訊首頁(yè)
  2. 新聞

微軟OneDrive曝重大安全漏洞 文件選擇器權(quán)限失控威脅用戶數(shù)據(jù)

Microsoft ? ? 新聞
微軟OneDrive曝重大安全漏洞 文件選擇器權(quán)限失控威脅用戶數(shù)據(jù)

今日,網(wǎng)絡(luò)安全團(tuán)隊(duì)Oasis Research Team披露微軟OneDrive存在高危安全漏洞,其文件選擇器因權(quán)限控制缺陷可能導(dǎo)致大規(guī)模數(shù)據(jù)泄露。該漏洞源于微軟OneDrive的OAuth授權(quán)機(jī)制設(shè)計(jì)缺陷——即使用戶僅需上傳單個(gè)文件,系統(tǒng)仍默認(rèn)要求對(duì)整個(gè)云存儲(chǔ)驅(qū)動(dòng)器的完全讀取權(quán)限。

值得關(guān)注的是,授權(quán)界面未清晰展示實(shí)際權(quán)限范圍,用戶往往在不知情狀態(tài)下開(kāi)放全部文件訪問(wèn)權(quán)。更為嚴(yán)重的是,OAuth令牌以明文形式存儲(chǔ)于瀏覽器會(huì)話中,結(jié)合可長(zhǎng)期生效的refresh tokens機(jī)制,攻擊者可借此持續(xù)竊取用戶云盤(pán)數(shù)據(jù),造成企業(yè)和個(gè)人敏感信息暴露。技術(shù)團(tuán)隊(duì)指出,該漏洞尤其威脅依賴(lài)OneDrive協(xié)作辦公的企業(yè)用戶,攻擊者一旦截獲令牌,可繞過(guò)二次驗(yàn)證直接訪問(wèn)團(tuán)隊(duì)共享文檔、財(cái)務(wù)數(shù)據(jù)等核心資產(chǎn)。

盡管微軟已確認(rèn)漏洞存在并承諾修復(fù),但截至發(fā)稿尚未發(fā)布補(bǔ)丁程序。這已是微軟云服務(wù)今年第二次曝出重大安全隱患,此前Azure多因素認(rèn)證系統(tǒng)漏洞曾導(dǎo)致數(shù)百萬(wàn)賬戶面臨風(fēng)險(xiǎn)。安全專(zhuān)家建議用戶近期謹(jǐn)慎使用第三方應(yīng)用接入OneDrive功能,同時(shí)定期檢查已授權(quán)應(yīng)用列表,及時(shí)撤銷(xiāo)可疑權(quán)限。微軟發(fā)言人表示,正在開(kāi)發(fā)精細(xì)化權(quán)限分級(jí)方案,未來(lái)將更新更明確的風(fēng)險(xiǎn)提示界面。

原創(chuàng)文章,作者:Microsoft,如若轉(zhuǎn)載,請(qǐng)注明出處:http://www.2079x.cn/article/721675.html

Microsoft的頭像Microsoft認(rèn)證作者

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論