今日,网络安全团队Oasis Research Team披露微软OneDrive存在高危安全漏洞,其文件选择器因权限控制缺陷可能导致大规模数据泄露。该漏洞源于微软OneDrive的OAuth授权机制设计缺陷——即使用户仅需上传单个文件,系统仍默认要求对整个云存储驱动器的完全读取权限。
值得关注的是,授权界面未清晰展示实际权限范围,用户往往在不知情状态下开放全部文件访问权。更为严重的是,OAuth令牌以明文形式存储于浏览器会话中,结合可长期生效的refresh tokens机制,攻击者可借此持续窃取用户云盘数据,造成企业和个人敏感信息暴露。技术团队指出,该漏洞尤其威胁依赖OneDrive协作办公的企业用户,攻击者一旦截获令牌,可绕过二次验证直接访问团队共享文档、财务数据等核心资产。
尽管微软已确认漏洞存在并承诺修复,但截至发稿尚未发布补丁程序。这已是微软云服务今年第二次曝出重大安全隐患,此前Azure多因素认证系统漏洞曾导致数百万账户面临风险。安全专家建议用户近期谨慎使用第三方应用接入OneDrive功能,同时定期检查已授权应用列表,及时撤销可疑权限。微软发言人表示,正在开发精细化权限分级方案,未来将更新更明确的风险提示界面。
原创文章,作者:Microsoft,如若转载,请注明出处:https://www.kejixun.co/article/721675.html
