關(guān)鍵詞

安全漏洞

2025年5月28日，安全研究機(jī)構(gòu)Oasis Security披露微軟OneDrive文件選擇器（File Picker）存在重大安全漏洞，數(shù)百萬(wàn)用戶面臨云存儲(chǔ)數(shù)據(jù)遭竊風(fēng)險(xiǎn)。該漏洞允許第三方網(wǎng)站繞過(guò)"單文件分享"限制，直接獲取用戶整個(gè)OneDrive的完全訪問(wèn)權(quán)限。

漏洞機(jī)理：權(quán)限失控的OAuth黑洞

與谷歌Drive采用精細(xì)化的drive.file權(quán)限（僅限所選文件）不同，微軟文件選擇器存在兩大致命缺陷：

1. 權(quán)限過(guò)度擴(kuò)張

   即使用戶僅選擇分享單個(gè)文件，系統(tǒng)仍會(huì)默認(rèn)申請(qǐng)Files.ReadWrite.All全域權(quán)限，導(dǎo)致授權(quán)網(wǎng)站可獲得用戶所有OneDrive文件的讀寫權(quán)。

2. 誤導(dǎo)性授權(quán)界面

   當(dāng)前授權(quán)彈窗未明確提示"將開(kāi)放整個(gè)云盤訪問(wèn)"，多數(shù)用戶會(huì)誤以為僅授權(quán)特定文件。（Dropbox采用的非OAuth私有接口則完全規(guī)避此風(fēng)險(xiǎn)）

• 歷史版本（6.0-7.2）

  ：通過(guò)URL片段或?yàn)g覽器localStorage明文存儲(chǔ)令牌

• 最新版（8.0）

  ：雖改用微軟認(rèn)證庫(kù)（MSAL），令牌仍以明文存于sessionStorage

• 長(zhǎng)期令牌危機(jī)

  ：系統(tǒng)可能簽發(fā)可續(xù)期的Refresh Token，若被惡意緩存將導(dǎo)致持續(xù)數(shù)月的后門訪問(wèn)

包括但不限于：

• 智能對(duì)話：ChatGPT文件上傳功能

• 企業(yè)協(xié)作：Slack/Trello的文件集成

• 項(xiàng)目管理：ClickUp的云存儲(chǔ)對(duì)接
  安全專家警告，任何調(diào)用OneDrive Picker的網(wǎng)站均可利用此漏洞。

微軟官方僅表態(tài)"未來(lái)可能改進(jìn)"，未給出修復(fù)時(shí)間表。現(xiàn)建議采取以下應(yīng)急措施：
個(gè)人用戶

1. 立即前往Microsoft Account隱私設(shè)置，撤銷可疑應(yīng)用的"文件讀寫所有權(quán)限"

2. 優(yōu)先改用"分享鏈接"功能替代直接授權(quán)
   企業(yè)管理員

3. 通過(guò)條件訪問(wèn)策略（Conditional Access）阻斷所有申請(qǐng)Files.ReadWrite.All權(quán)限的應(yīng)用

4. 部署云訪問(wèn)安全代理（CASB）監(jiān)控異常Graph API請(qǐng)求

"這是OAuth權(quán)限模型的反面教材——當(dāng)'讀取所有文件'成為默認(rèn)選項(xiàng)，數(shù)據(jù)主權(quán)便形同虛設(shè)。" ——Oasis Security首席研究員

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！