Falha crítica no OneDrive permite acesso indevido a todos os arquivos com o Upload de um único documento

Uma vulnerabilidade no recurso “OneDrive File Picker” da Microsoft expõe os arquivos dos usuários a riscos severos de segurança.

Recentemente, pesquisadores da Oasis Security revelaram uma falha crítica no componente OneDrive File Picker, amplamente utilizado em sites e aplicações web para permitir que usuários carreguem arquivos diretamente de seus armazenamentos em nuvem. A falha permite que um aplicativo web receba acesso irrestrito a todos os arquivos armazenados no OneDrive do usuário, mesmo que ele selecione apenas um único arquivo para upload.

O que está acontecendo?

O problema está relacionado à maneira como as permissões são concedidas via OAuth 2.0 durante o processo de autenticação. O File Picker solicita escopos (scopes) de acesso que concedem leitura total de todos os arquivos no OneDrive da vítima. Isso ocorre sem que o usuário tenha clareza de que está concedendo esse nível de acesso.

“Você pensa que está apenas enviando um PDF... mas, nos bastidores, o aplicativo agora pode acessar todo o seu histórico de documentos, planilhas, fotos e arquivos pessoais armazenados na nuvem.” — Oasis Security

Detalhes Técnicos

• Permissões Excessivas: O picker solicita escopos como Files.Read.All ou Sites.Read.All, que dão ao app a capacidade de ler todo o conteúdo do OneDrive.

• Consentimento Enganoso: A interface de consentimento apresentada ao usuário não deixa claro que o app poderá ver todos os arquivos.

• Uso de Refresh Tokens: Algumas implementações permitem que o app mantenha o acesso por tempo indeterminado, mesmo após o uso inicial.

• Armazenamento Inseguro de Tokens: Muitos apps armazenam o token de acesso em sessionStorage ou localStorage, em texto claro — o que é uma prática insegura.

O que isso significa para os usuários?

Usuários que usam o recurso de upload de arquivos a partir do OneDrive em sites e apps de terceiros podem, sem saber, estar entregando acesso total a sua nuvem. Isso representa um risco significativo para:

• Documentos pessoais e sensíveis

• Dados corporativos

• Informações financeiras

• Identidade digital

Como se proteger?

Para usuários

• Revogue acessos suspeitos: Vá para portal de permissões da Microsoft e remova aplicativos desconhecidos ou não confiáveis.

• Evite usar o OneDrive File Picker em aplicativos desconhecidos até que a falha seja corrigida.

• Ative autenticação multifator (MFA) na sua conta Microsoft para reduzir o risco de acessos não autorizados.

Para Empresas

• Implemente políticas de acesso condicional via Entra ID (Azure AD).

• Audite os aplicativos de terceiros autorizados por seus usuários.

• Bloqueie ou restrinja o uso de File Pickers em navegadores corporativos.

E a Microsoft?

A Microsoft foi notificada da falha e está avaliando possíveis soluções, incluindo:

• Revisar os escopos padrão do OneDrive File Picker

• Melhorar as mensagens da tela de consentimento

• Adicionar suporte a escopos mais granulares no OAuth

Até o momento, não houve lançamento de patch oficial, e os riscos permanecem vigentes.

Essa falha mostra como um recurso aparentemente simples pode ser explorado para comprometer toda a privacidade e segurança digital do usuário. A recomendação é que empresas e usuários estejam vigilantes e adotem boas práticas de segurança imediatamente.

Fontes

• Oasis Security – Vulnerabilidade no OneDrive File Picker

• The Hacker News – Microsoft OneDrive Picker Vulnerability

• SecurityWeek – Apps Ganham Acesso Total ao OneDrive

• BoletimSec – Falha no OneDrive