Una reciente investigación en ciberseguridad ha revelado una grave vulnerabilidad en el selector de archivos de OneDrive, el popular servicio de almacenamiento en la nube de Microsoft. Esta falla, si se explota con éxito, puede permitir que sitios web maliciosos accedan a todos los archivos del usuario almacenados en OneDrive, incluso si solo se seleccionó un archivo específico para compartir.
El hallazgo fue publicado por el equipo de investigación de seguridad de Oasis, quienes compartieron el informe técnico con The Hacker News. Según los investigadores, el problema radica en permisos OAuth demasiado amplios y en pantallas de consentimiento confusas, lo que representa una amenaza significativa tanto para usuarios individuales como para empresas que utilizan OneDrive en entornos colaborativos.
¿En qué consiste la falla de seguridad?
El Selector de Archivos de OneDrive, una funcionalidad ampliamente usada en aplicaciones de terceros, permite a los usuarios cargar archivos directamente desde su cuenta de OneDrive a plataformas como Slack, Trello, ClickUp e incluso ChatGPT. Sin embargo, esta herramienta está solicitando, en muchos casos, acceso de lectura completo a toda la unidad de almacenamiento del usuario, incluso si la aplicación solo necesita subir un archivo puntual.
Este comportamiento se debe a que OneDrive no implementa alcances OAuth de grano fino, es decir, no permite definir permisos más específicos o limitados. Como resultado, una aplicación maliciosa puede aprovechar este exceso de permisos para escanear o exfiltrar todos los archivos disponibles en la cuenta del usuario, sin que este sea plenamente consciente del riesgo.
Pantallas de consentimiento engañosas
El problema se agrava por las pantallas de consentimiento vagas e imprecisas que Microsoft presenta al usuario antes de autorizar el acceso. La solicitud no comunica claramente que se está otorgando acceso a todos los archivos, lo que puede generar una falsa sensación de seguridad.
«La falta de alcances detallados hace que sea imposible para los usuarios distinguir entre aplicaciones legítimas y aplicaciones maliciosas que abusan del acceso excesivo», alertó Oasis.
Riesgos para la privacidad y cumplimiento normativo
Esta falla no solo representa un riesgo técnico, sino que también puede derivar en incumplimientos legales con normativas de protección de datos como el RGPD (Reglamento General de Protección de Datos) en Europa o la Ley de Privacidad del Consumidor de California (CCPA). Una filtración masiva de datos por esta vía podría tener consecuencias legales y económicas para empresas que utilicen servicios que integren el selector de archivos de OneDrive.
Inseguridad en el almacenamiento de tokens
Otro aspecto crítico señalado en el informe es la gestión insegura de los tokens OAuth, que permiten autorizar el acceso sin necesidad de que el usuario vuelva a iniciar sesión constantemente. Según Oasis, estos tokens se almacenan en formato de texto plano en el almacenamiento de sesión del navegador, lo cual los deja vulnerables a ataques como XSS (Cross-site Scripting) o robo de sesión.
Además, muchas implementaciones utilizan tokens de actualización (refresh tokens), que permiten mantener el acceso indefinidamente sin requerir autenticación adicional del usuario. Si estos tokens caen en manos equivocadas, el atacante puede mantener un acceso persistente al contenido del usuario, incluso después de que el token inicial haya expirado.
Reacción de Microsoft y medidas recomendadas
Tras la divulgación responsable de la vulnerabilidad, Microsoft reconoció el problema pero, hasta el momento, no ha implementado una solución definitiva. En consecuencia, los expertos recomiendan adoptar medidas preventivas mientras se espera una corrección oficial.
Buenas prácticas para mitigar el riesgo:
-
Evitar temporalmente el uso del selector de archivos de OneDrive en aplicaciones de terceros hasta que se mejore el control de permisos.
-
Desactivar el uso de tokens de actualización, cuando sea posible.
-
Almacenar los tokens de acceso de forma segura, preferiblemente cifrados, y eliminarlos cuando ya no se necesiten.
-
Revisar los permisos concedidos a aplicaciones conectadas a tu cuenta de Microsoft desde el portal de seguridad.
-
Auditar las integraciones activas con OneDrive en plataformas colaborativas como Slack, Trello o ClickUp.
Un problema estructural de OAuth
Este caso pone de manifiesto las deficiencias actuales en la implementación de OAuth, especialmente cuando no se ofrecen mecanismos para limitar permisos con precisión. La gestión del alcance (scope) en OAuth es crucial para evitar accesos excesivos, y los desarrolladores deben ejercer cautela al integrarlo en sus aplicaciones.
Oasis concluye que este descubrimiento debe servir como llamada de atención para reforzar las prácticas de seguridad en el uso de OAuth. Las empresas y desarrolladores deben adoptar una postura proactiva en la auditoría de permisos, la segmentación del acceso y la educación del usuario final sobre los riesgos de autorizar aplicaciones sin comprender totalmente sus implicaciones.
Fuente: The Hacker News
