Un defecto de diseño crítico en la delegación de todo el dominio de Google Workspace (DWD) característica acaba de ser descubierta, presentando una vía potencial para que los actores de amenazas escale privilegios y obtengan acceso no autorizado a las API de Workspace.
Conozca el defecto de diseño de DeleFriend en Google Cloud Platform
apodado “DeleFriend,” esta falla de google permite la manipulación de delegaciones existentes en Google Cloud Platform (GCP) y Google Workspace sin necesidad de privilegios de superadministrador, representando una seria amenaza para la seguridad de Gmail, Google Drive, y otros servicios dentro del dominio de Workspace.
La vulnerabilidad radica en el diseño de configuraciones de delegación de dominio., específicamente en cómo el ID de OAuth determina la delegación en lugar de las claves privadas asociadas con el objeto de identidad de la cuenta de servicio.. Actores de amenazas con acceso limitado a un proyecto de GCP objetivo podría explotar esta debilidad creando numerosos tokens web JSON (JWT) con diferentes alcances de OAuth, con el objetivo de identificar combinaciones exitosas de pares de claves privadas y alcances OAuth autorizados que indiquen la delegación en todo el dominio.
En términos más simples, una identidad con la capacidad de crear nuevas claves privadas para un recurso de cuenta de servicio de GCP relevante, ya posee permiso de delegación en todo el dominio, puede generar una clave privada nueva. Luego, esta clave se puede utilizar para ejecutar llamadas API a Google Workspace en nombre de otras identidades del dominio., potencialmente conduciendo a la exfiltración de datos confidenciales de servicios como Gmail, Manejar, Calendario, y más.
Cazadores, la empresa de ciberseguridad que descubrió el fallo de diseño, enfatiza las graves consecuencias de que actores maliciosos aprovechen la delegación en todo el dominio, afirmando que tiene el potencial de afectar todas las identidades dentro del dominio del espacio de trabajo, a diferencia del consentimiento individual de OAuth. Para ayudar a detectar configuraciones erróneas, Hunters ha lanzado una prueba de concepto (PoC) que muestra el potencial del exploit, señalando la urgencia de abordar esta laguna de seguridad crítica en Google Workspace.