En kritisk designfejl i Google Workspaces domænedækkende delegering (DWD) funktion blev netop opdaget, præsenterer en potentiel vej for trusselsaktører til at eskalere privilegier og få uautoriseret adgang til Workspace API'er.
Mød DeleFriend Design Flaw i Google Cloud Platform
Døbt “DeleFriend,” denne Google fejl tillader manipulation af eksisterende delegationer i Google Cloud Platform (GCP) og Google Workspace uden at kræve superadministratorrettigheder, udgør en alvorlig trussel mod sikkerheden i Gmail, Google Drev, og andre tjenester inden for Workspace-domænet.
Sårbarheden ligger i designet af domænedelegationskonfigurationer, specifikt i, hvordan OAuth-id'et bestemmer delegeringen i stedet for de private nøgler, der er knyttet til servicekontoidentitetsobjektet. Trussel aktører med begrænset adgang til et mål GCP projekt kunne udnytte denne svaghed ved at skabe adskillige JSON-webtokens (JWT'er) med forskellige OAuth-omfang, sigter på at identificere vellykkede kombinationer af private nøglepar og autoriserede OAuth-omfang, der angiver domænedækkende delegering.
I enklere vendinger, en identitet med mulighed for at oprette nye private nøgler til en relevant GCP-tjenestekontoressource, allerede besidder domænedækkende delegeringstilladelse, kan generere en ny privat nøgle. Denne nøgle kan derefter bruges til at udføre API-kald til Google Workspace på vegne af andre identiteter i domænet, potentielt føre til eksfiltrering af følsomme data fra tjenester som Gmail, Køre, Kalender, og mere.
Jægere, cybersikkerhedsfirmaet, der opdagede designfejlen, understreger de alvorlige konsekvenser af ondsindede aktører, der udnytter domænedækkende delegering, angiver, at det har potentialet til at påvirke enhver identitet inden for Workspace-domænet, i modsætning til individuelt OAuth-samtykke. For at hjælpe med at opdage fejlkonfigurationer, Hunters har udgivet et proof-of-concept (PoC) der viser udnyttelsens potentiale, peger på, hvor meget det haster med at løse dette kritiske sikkerhedshul i Google Workspace.