พบช่องโหว่บน OneDrive File Picker เปิดโอกาสให้แฮกเกอร์เข้าถึงบริการคลาวด์ของเหยื่อได้อย่างเต็มรูปแบบ

OneDrive จัดเป็นอีกหนึ่งในบริการการเก็บไฟล์บนคลาวด์ที่ได้รับความนิยมสูงไม่แพ้ Google Drive เนื่องจากฟีเจอร์ที่เชื่อมโยงกับ Windows จากการที่ผู้พัฒนาเป็นเจ้าของเดียวกันนั่นคือไมโครซอฟท์ แต่ในตอนนี้ ฟีเจอร์บางอย่างที่อยู่บน OneDrive อาจสร้างความกังวลใจให้กับผู้ใช้งานบางส่วนได้

ภาพจาก: https://thehackernews.com/2025/05/microsoft-onedrive-file-picker-flaw.html

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบช่องโหว่ที่อยู่บนเครื่องมือของ OneDrive ที่มีชื่อว่า OneDrive File Picker ซึ่งช่องโหว่ดังกล่าวนั้นได้ถูกค้นพบโดยทีมวิจัย Oasis Research Team โดยทางทีมวิจัยได้ระบุว่า ปัญหาดังกล่าวนั้นมาจากการเชื่อมต่อระหว่างตัวบริการคลาวด์ดังกล่าวของทางไมโครซอฟท์ กับบริการอื่น ๆ เช่น เว็บไซต์ และแอปพลิเคชันต่าง ๆ อย่าง ChatGPT, Slack, Trello และ ClickUp โดยแทนที่ตัว File Picker จะให้สิทธิ์เท่าที่จำเป็นสำหรับเว็บไซต์และบริการอื่น ๆ ในการเข้าถึงไฟล์บน OneDrive ของผู้ใช้งาน กลับให้สิทธิ์แบบเต็มที่กับบริการเหล่านี้ ทำให้ทั้งแอปพลิเคชัน และเว็บไซต์สามารถเข้าใช้งาน และจัดการไฟล์ ตลอดจนบริการคลาวด์ที่เชื่อมต่อได้อย่างเบ็ดเสร็จเสมือนผู้ใช้งานที่เป็นเจ้าของใช้งานเอง รวมทั้งในการเชื่อมต่อนั้นยังไม่มีระบบ OAuth หรือ Open Authority ที่วางไว้อย่างละเอียดมากพอที่จะทำให้ผู้ใช้งานรับรู้ได้ว่า ตัวแอปพลิเคชันแต่ละตัวนั้นมีการขอสิทธิ์ในการเข้าถึงไดร์ฟมากน้อยเพียงใด จนอาจนำไปสู่การเผลอให้สิทธิ์แบบเต็มที่ต่อแอปพลิเคชันที่เป็นมัลแวร์อย่างไม่รู้ตัว

ภาพจาก: https://thehackernews.com/2025/05/microsoft-onedrive-file-picker-flaw.html

ทางไมโครซอฟท์นั้นได้รับทราบถึงปัญหาแล้ว แต่ก็ยังกล่าวว่าการแก้ไขในตอนนี้ยังไม่มี และอาจต้องรอไปอีกระยะหนึ่ง ในระหว่างนี้ให้ทำการป้องกันตัวเองด้วยการด้วยการผิดการอนุญาตให้มีการเข้าถึงหรืออัปโหลดไฟล์ใด ๆ ผ่านทางการอนุญาตทาง OAuth ไปพลางก่อน จนกว่าจะมีการปรับเปลี่ยนระบบการรักษาความปลอดภัยให้มีความแน่นหนามากขึ้นในอนาคต