DDigitale Veiligheid

Mogelijk beveiligingsprobleem toegang OneDrive

Mogelijk beveiligingsprobleem toegang OneDrive
0
Shares
0
0
0

Dit wordt weer een relatief technische blog, hoewel toch belangrijk genoeg om toch te maken. Het gaat om een mogelijk beveiligingsprobleem toegang OneDrive. Mijn interesse werd dus gewerkt door het volgende bericht dat ik zelf voor het gemak vertaald heb in het Nederlands: “Microsoft OneDrive File Picker-lek geeft apps volledige toegang tot cloudopslag — zelfs bij het uploaden van slechts één bestand”. Het betreft het nieuws dat op The Hacker News verscheen: “Microsoft OneDrive File Picker Flaw Grants Apps Full Cloud Access — Even When Uploading Just One File“. Deze blog gaat over het mitigeren van het probleem door het beperken van apps die volledige toegang hebben tot OneDrive.

Cybersecurityonderzoekers van Oasis Research Team

Cybersecurityonderzoekers hebben dus een beveiligingslek ontdekt in de OneDrive File Picker van Microsoft. Hiermee kun je bestanden uploaden naar OneDrive. Als kwaadwillenden dit lek misbruiken, kunnen websites toegang krijgen tot de volledige cloudopslag van een gebruiker, in plaats van alleen tot de bestanden die via de tool zijn geselecteerd voor upload.

Volgens het Oasis Research Team is dit te wijten aan te brede OAuth-machtigingen en misleidende toestemmingsschermen die niet duidelijk uitleggen welke toegang kwaadwillenden kunnen krijgen. Zie onderstaand screenshot die je vast wel eens gezien hebt. Dit kan ernstige gevolgen hebben, zoals het lekken van klantgegevens en schendingen van nalevingsvoorschriften.

Verschillende apps, zoals ChatGPT, Slack, Trello en ClickUp, worden als kwetsbaar beschouwd vanwege hun integratie met de cloudservice van Microsoft.

Het probleem ontstaat doordat de OneDrive File Picker om leesrechten voor de volledige OneDrive cloudopslag vraagt, zelfs wanneer slechts één bestand wordt geüpload. Dit komt door het ontbreken van fijnmazige OAuth-machtigingen voor OneDrive. Bovendien is het toestemmingsscherm dat gebruikers te zien krijgen vaag en geeft het niet duidelijk aan welk toegangsniveau wordt verleend, waardoor gebruikers worden blootgesteld aan onverwachte beveiligingsrisico’s.

Gebrek aan fijnmazige machtigingen mogelijk beveiligingsprobleem toegang OneDrive

Oasis merkt op dat het gebrek aan fijnmazige machtigingen het voor gebruikers onmogelijk maakt om onderscheid te maken tussen kwaadaardige apps die op alle bestanden gericht zijn en legitieme apps die om uitgebreide machtigingen vragen omdat er geen andere veilige optie is.

Daarnaast worden de OAuth-tokens die toegang autoriseren vaak onveilig opgeslagen, namelijk in platte tekst in de sessieopslag van de browser. Een ander potentieel probleem is dat de autorisatieworkflows ook het uitgeven van een vernieuwings-token kunnen omvatten, waardoor de applicatie voortdurende toegang tot gebruikersgegevens krijgt zonder dat de gebruiker opnieuw hoeft in te loggen wanneer het huidige token verloopt.

Na verantwoordelijke openbaarmaking heeft Microsoft het probleem erkend, hoewel er nog geen oplossing is. In de tussentijd is het raadzaam om tijdelijk de optie om bestanden te uploaden via OneDrive met OAuth te verwijderen totdat er een veilig alternatief beschikbaar is. Als alternatief wordt geadviseerd om geen vernieuwings-tokens te gebruiken, toegangstokens op een veilige manier op te slaan en ze te verwijderen wanneer ze niet langer nodig zijn.

Microsoft verklaarde:
“We waarderen de samenwerking met Oasis Security bij het verantwoord openbaar maken van dit probleem. Deze techniek voldoet niet aan onze criteria voor onmiddellijke service, aangezien een gebruiker toestemming moet geven aan de applicatie voordat toegang wordt verleend. We zullen overwegen om de ervaring in een toekomstige release te verbeteren.”

Mogelijk beveiligingsprobleem toegang OneDrive door gebrek fijnmazige OAUTH-machtigingen

Oasis concludeerde: “Het gebrek aan fijnmazige OAuth-machtigingen in combinatie met het vage gebruikersprompt van Microsoft is een gevaarlijke combinatie die zowel persoonlijke als zakelijke gebruikers in gevaar brengt. Deze ontdekking onderstreept het belang van voortdurende waakzaamheid bij het beheren van OAuth-machtigingen, regelmatige beveiligingsbeoordelingen en proactieve monitoring om gebruikersgegevens te beschermen.”

Een eind gebruiker krijgt dan het volgende gepresenteerd wat gezien kan worden als een mogelijk beveiligingsprobleem met betrekking tot de toegang tot OneDrive.

Mogelijk beveiligingsprobleem toegang OneDrive

Als eindgebruiker moet je het volgende doen

1. Controleer welke apps toegang hebben tot je Microsoft-account / Beperken welke apps toegang hebben tot OneDrive

2. Wees kritisch bij het geven van toestemming aan apps

  • Controleer altijd het toestemmingsscherm vóór je op “Toestaan” klikt.
  • Let vooral op zinnen zoals:
    • “Deze app kan uw volledige OneDrive lezen en bewerken”
    • “Toegang tot alle bestanden”
  • Als een app vraagt om meer machtigingen dan logisch lijkt, overweeg dan om deze niet te gebruiken.

3. Gebruik alternatieve uploadmethodes door beperken welke apps toegang hebben tot OneDrive

  • Gebruik liever directe bestandselectie (bijv. handmatig uploaden vanaf je apparaat) dan “Uploaden vanuit OneDrive” als je een bestand naar een app wilt sturen.
  • Zo voorkom je dat de app toegang krijgt tot je volledige cloudopslag.

4. Gebruik een apart Microsoft-account voor apps van derden om toegang met apps tot OneDrive te beperken

  • Als je regelmatig apps van derden gebruikt, kun je een secundair Microsoft-account aanmaken met beperkte of geen gevoelige data.
  • Zo beperk je de schade als dat account misbruikt wordt.

5. Gebruik tweefactorauthenticatie (2FA)

  • Zorg dat je 2FA aan hebt staan voor je Microsoft-account:
  • Dit helpt om je account extra te beveiligen als een app of website kwaadaardig blijkt te zijn.

6. Controleer je OneDrive op ongewenste toegang of wijzigingen

  • Kijk regelmatig in je OneDrive-activiteit (via de website of app) of er vreemde acties zijn geweest:
    • Onverwachte verwijderingen
    • Onbekende apps of mappen
  • Dit kan een teken zijn dat een app te veel toegang heeft gekregen.

Onderstaand een voorbeeld welke Apps toegang hebben tot OneDrive.

Hoe ziet dit er dan uit?

Onderstaand een voorbeeld hoe zoiets er uitziet als ik inlog op mijn Microsoft account.

Mogelijk beveiligingsprobleem toegang OneDrive

Als je daarop inzoomt, zie je het volgende. Dat is prima, want ik heb een Samsung telefoon. De andere zou ik zonder meer kunnen verwijderen.

Mogelijk beveiligingsprobleem toegang OneDrive

Helaas kan ik het niet meer zien, maar in deze lijst stond ook ChatGPT. Wat moet ChatGPT met toegang tot de OneDrive bestanden van de Digitale Mels -verwijderen dus via Edit, Remove.

Meer artikelen over digitale security kun je lezen op de site van de Digitale Mels.

0 Shares:
Share 0
Tweet 0

Marco Mels is geboren in Hoogvliet, opgegroeid in Spijkenisse en tot slot heeft hij zijn studententijd doorgebracht in Rotterdam. Na een aantal jaren is Marco Mels verhuisd naar Maarssen om uiteindelijk in Riethoven te belanden. Daar woont Marco Mels nog steeds met zijn vriendin Marga en zijn twee kinderen Kevin en Nessa.

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

— Previous article

WordPress op EOL server

Next article —

Cumulatieve updates download links

You May Also Like