Sicherheitslücke in Onedrive gefährdet Millionen Nutzer

Millionen Onedrive-Nutzende sind potenziell von einer schwerwiegenden Sicherheitslücke betroffen, die das Forschungsteam von "Oasis Security" aufgedeckt hat. Der Fehler im Onedrive File Picker erlaubt es Websites und Anwendungen, auf sämtliche Dateien eines Onedrive-Nutzenden zuzugreifen - auch auf Dateien, die ein User nicht explizit zum Hochladen ausgewählt hat.

Nach Einschätzung der Forschenden sind Hunderte von verbreiteten Anwendungen von dieser Schwachstelle betroffen, darunter ChatGPT, Slack, Trello und Clickup. Dies sei besonders bedenklich, da zahlreiche Nutzende diesen Anwendungen möglicherweise bereits unbeabsichtigt vollen Zugriff auf ihre Onedrive-Daten gewährt haben. Die Konsequenzen reichen laut Bericht vom Verlust sensibler Daten bis hin zu Verstössen gegen Compliance-Vorschriften.

Die Sicherheitsforschenden hätten Microsoft nach der Entdeckung über den Fehler informiert sowie betroffene Anwendungsanbieter kontaktiert. Microsoft prüfe nun Verbesserungsmöglichkeiten, die eine präzisere Abstimmung zwischen den Funktionen des File Pickers und den dafür notwendigen Zugriffsrechten umfassen könnten.

Problematische Implementierung des Onedrive File Pickers

Das grundlegende Problem liegt laut Oasis Security in der Implementierung des Onedrive File Pickers, welcher Lesezugriff auf das gesamte Laufwerk erfordert - selbst wenn nur eine einzelne Datei hochgeladen werden soll. Grund dafür sei das Fehlen feinkörniger OAuth-Bereiche in Onedrive. Zwar würden User vor dem Upload um Zustimmung gebeten, doch vermittle die Aufforderung nicht deutlich, welche weitreichenden Zugriffsrechte sie eigentlich gewähren.

Zusätzlich werden vertrauliche Zugangsdaten oft unsicher gespeichert, wie es weiter heisst. Die aktuelle Version 8.0 des File Pickers erfordere, dass Entwickler die Authentifizierung selbst implementieren, wobei die Microsoft Authentication Library (MSAL) sensible Token im Klartext im Browser-Sitzungsspeicher ablegt. Besonders problematisch: Es können dem Bericht zufolge Aktualisierungstoken ausgestellt werden, die langfristigen Zugriff auf Nutzerdaten ermöglichen.

Sicherheitsmassnahmen 

Privatnutzende können gemäss Oasis Security ihre Zugriffsberechtigungen überprüfen, indem sie sich in ihr Microsoft-Konto einloggen, unter "Datenschutz" den "App-Zugriff" aufrufen und die Liste der autorisierten Apps prüfen. Für jede App könne man die spezifischen Berechtigungen einsehen und bei Bedarf widerrufen. 

Organisationen müssen laut Bericht im "Entra Admin Center" zur Liste der Unternehmensanwendungen navigieren. Dort könnten sie für jede Anwendung die erteilten Berechtigungen überprüfen und feststellen, welcher User diese Berechtigungen gewährt hat.

Für Betreiber von Web-Anwendungen empfiehlt Oasis Security, vorübergehend die Option zum Hochladen von Dateien mit Onedrive über OAuth zu entfernen, bis Microsoft eine sicherere Alternative bereitstellt. In der Zwischenzeit empfehle es sich, sicherere und einfachere Alternativen zu nutzen - etwa das Teilen schreibgeschützter Onedrive-Links. Dieser Weg sei zwar weniger komfortabel für Nutzerinnen und Nutzer, biete aber mehr Sicherheit.

Sollte die Entfernung des File Pickers keine praktikable Lösung darstellen, sollten Web-App-Betreiber die Verwendung von Aktualisierungstoken vermeiden sowie den Umfang "Offline-Zugriff" nicht anfordern. Zudem rät Oasis Security, bestehenden Code zu überprüfen. Dabei sollte sichergestellt werden, dass Zugriffstoken sicher gespeichert und nicht für Dritte zugänglich sind, wie etwa durch unsichere Speicherung im Session Storage oder Local Storage.

Lesen Sie auch: Ein Sicherheitsforscher hat über 184 Millionen Zugangsdaten und Passwörter in einer ungesicherten Datenbank entdeckt. Die Datenbank enthält Logins für Amazon, Apple, Facebook, Google, Microsoft und Paypal.