Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...
Post a Comment
Read more

Falha crítica no OneDrive permite acesso indevido a todos os arquivos com o Upload de um único documento




Uma vulnerabilidade no recurso “OneDrive File Picker” da Microsoft expõe os arquivos dos usuários a riscos severos de segurança.

Recentemente, pesquisadores da Oasis Security revelaram uma falha crítica no componente OneDrive File Picker, amplamente utilizado em sites e aplicações web para permitir que usuários carreguem arquivos diretamente de seus armazenamentos em nuvem. A falha permite que um aplicativo web receba acesso irrestrito a todos os arquivos armazenados no OneDrive do usuário, mesmo que ele selecione apenas um único arquivo para upload.

O que está acontecendo?

O problema está relacionado à maneira como as permissões são concedidas via OAuth 2.0 durante o processo de autenticação. O File Picker solicita escopos (scopes) de acesso que concedem leitura total de todos os arquivos no OneDrive da vítima. Isso ocorre sem que o usuário tenha clareza de que está concedendo esse nível de acesso.

“Você pensa que está apenas enviando um PDF... mas, nos bastidores, o aplicativo agora pode acessar todo o seu histórico de documentos, planilhas, fotos e arquivos pessoais armazenados na nuvem.” — Oasis Security

Detalhes Técnicos

  • Permissões Excessivas: O picker solicita escopos como Files.Read.All ou Sites.Read.All, que dão ao app a capacidade de ler todo o conteúdo do OneDrive.

  • Consentimento Enganoso: A interface de consentimento apresentada ao usuário não deixa claro que o app poderá ver todos os arquivos.

  • Uso de Refresh Tokens: Algumas implementações permitem que o app mantenha o acesso por tempo indeterminado, mesmo após o uso inicial.

  • Armazenamento Inseguro de Tokens: Muitos apps armazenam o token de acesso em sessionStorage ou localStorage, em texto claro — o que é uma prática insegura.

O que isso significa para os usuários?

Usuários que usam o recurso de upload de arquivos a partir do OneDrive em sites e apps de terceiros podem, sem saber, estar entregando acesso total a sua nuvem. Isso representa um risco significativo para:

  • Documentos pessoais e sensíveis

  • Dados corporativos

  • Informações financeiras

  • Identidade digital


Como se proteger?

Para usuários

  • Revogue acessos suspeitos: Vá para portal de permissões da Microsoft e remova aplicativos desconhecidos ou não confiáveis.

  • Evite usar o OneDrive File Picker em aplicativos desconhecidos até que a falha seja corrigida.

  • Ative autenticação multifator (MFA) na sua conta Microsoft para reduzir o risco de acessos não autorizados.

Para Empresas

  • Implemente políticas de acesso condicional via Entra ID (Azure AD).

  • Audite os aplicativos de terceiros autorizados por seus usuários.

  • Bloqueie ou restrinja o uso de File Pickers em navegadores corporativos.

E a Microsoft?

A Microsoft foi notificada da falha e está avaliando possíveis soluções, incluindo:

  • Revisar os escopos padrão do OneDrive File Picker

  • Melhorar as mensagens da tela de consentimento

  • Adicionar suporte a escopos mais granulares no OAuth

Até o momento, não houve lançamento de patch oficial, e os riscos permanecem vigentes.

Essa falha mostra como um recurso aparentemente simples pode ser explorado para comprometer toda a privacidade e segurança digital do usuário. A recomendação é que empresas e usuários estejam vigilantes e adotem boas práticas de segurança imediatamente.

Fontes

Comments

Post a Comment