ช่องโหว่ความปลอดภัยใน Microsoft OneDrive File Picker
-
Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับ นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ในระบบ OneDrive File Picker ของ Microsoft ซึ่งอาจเปิดช่องให้แอปพลิเคชันของบุคคลที่สามสามารถเข้าถึงพื้นที่จัดเก็บข้อมูลใน OneDrive ของผู้ใช้ได้อย่างเต็มรูปแบบ แม้ว่าผู้ใช้จะตั้งใจเพียงแค่อัปโหลดไฟล์เดียวเท่านั้น
ช่องโหว่นี้เกิดขึ้นในกระบวนการทำงานของ OneDrive File Picker ซึ่งอนุญาตให้แอปพลิเคชันของบุคคลที่สามสามารถใช้สิทธิ์เข้าถึงข้อมูลบน OneDrive ผ่าน OAuth โดยช่องโหว่นี้อาจทำให้แอปฯ ได้สิทธิ์เข้าถึงทั้งบัญชี แทนที่จะจำกัดอยู่เพียงไฟล์เดียวที่ผู้ใช้เลือก
ผลกระทบ
หากมีการโจมตีสำเร็จ แอปพลิเคชันของบุคคลที่สามอาจเข้าถึงข้อมูลทั้งหมดใน OneDrive ของผู้ใช้ได้โดยไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การอ่าน แก้ไข หรือลบข้อมูลโดยที่ผู้ใช้ไม่ตั้งใจ ส่งผลให้เกิดการสูญหายของข้อมูลและการละเมิดกฎระเบียบด้านความปลอดภัยของข้อมูลผลิตภัณฑ์ที่ได้รับผลกระทบ
ช่องโหว่นี้ส่งผลกระทบต่อแอปพลิเคชันใดๆ ที่ใช้ OneDrive File Picker ของ Microsoft เพื่อขอสิทธิ์ผ่าน OAuth รวมถึงบัญชี OneDrive ส่วนบุคคลและธุรกิจในชุด Microsoft 365 และแอปฯ ที่ใช้ OAuth consent flow เพื่อขอสิทธิ์การเข้าถึง OneDriveแนวทางป้องกัน
ผู้ใช้งานและผู้ดูแลระบบควรตรวจสอบและเพิกถอนสิทธิ์ของแอปพลิเคชันของบุคคลที่สามที่ไม่จำเป็นหรือไม่น่าเชื่อถือองค์กรควรจำกัดการอนุญาตแอป OAuth ผ่านการตั้งค่าใน Azure Active Directory
ควรเปิดใช้งานระบบขออนุมัติจากผู้ดูแลระบบก่อนให้สิทธิ์แอปฯ
ติดตามกิจกรรมที่ผิดปกติใน OneDrive อย่างสม่ำเสมอ
ผู้ใช้งานควรระมัดระวังในการให้สิทธิ์เข้าถึง OneDrive กับแอปพลิเคชันต่างๆอ้างอิง
https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-051/สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand
