Sicherheitsforscher warnen vor möglicher Schwachstelle in Microsoft OneDrive

Forscher des Sicherheitsanbieters Oasis Security machen auf eine Schwachstelle in OneDrive aufmerksam. Dienste, Apps und Websites erhalten unter Umständen vollständigen Zugriff auf Inhalte, die Nutzer auf Microsofts Cloudspeicherdienst abgelegt – möglicherweise ohne deren Wissen.

In der Kritik der Forscher steht der sogenannte File Picker. Diese Funktion erlaubt es Nutzern, Dateien direkt von OneDrive aus auf andere Dienste oder Websites hochzuladen. Über den File Picker erhalten Anwendungen von Drittanbietern somit Zugriff auf die auf OneDrive gespeicherten Dateien.

Zwar zeigt der File Picker von OneDrive eine Sicherheitswarnung an, der Nutzer zustimmen müssen, Oasis Security bemängelt den Wortlaut jedoch als „vage und missverständlich“. Tatsächlich erteile der Nutzer nicht nur die Zustimmung für den Zugriff auf die von ihm ausgewählten Dateien, sondern für alle seine Inhalte.

Zwar sei der Zugriff zeitlich begrenzt, über sogenannte Refresh Tokens sei es jedoch möglich, den Zugang zu verlängern. Darüber hinaus werde der eigentlich vertrauliche Zugriffs-Token im Klartext im Zwischenspeicher der Browsersitzung abgelegt.

„Der Mangel an fein abgestuften OAuth-Bereichen in Kombination mit Microsofts vager Benutzerabfrage ist eine gefährliche Kombination, die sowohl Privat- als auch Unternehmensanwender in Gefahr bringt“, teilte der Sicherheitsanbieter mit. „Oasis Security empfiehlt Privatpersonen und Verantwortlichen in der Technologiebranche, den Zugriff Dritter auf ihr Konto zu überprüfen, um die potenziellen Risiken zu minimieren, die durch diese Probleme entstehen.“

IT-Administratoren können Oasis Security zufolge im Entra Admin Center in der Liste der Enterprise-Anwendungen prüfen, für welche Dienste und Apps Berechtigungen erteilt wurden. Zudem lässt sich unter dem Punkt „Datenschutz“ im Microsoft-Konto kontrollieren, welche Apps von Drittanbietern Zugriff auf das eigene Microsoft-Konto haben.