Accueil > Nouvelles Cyber > Google Workspace Design Flaw Enables Hacker Access to APIs
CYBER NOUVELLES

Une faille de conception de Google Workspace permet aux pirates d'accéder aux API

Un défaut de conception critique dans la délégation à l'échelle du domaine de Google Workspace (DWD) la fonctionnalité vient d'être découverte, offrant aux acteurs malveillants un moyen potentiel d'élever leurs privilèges et d'obtenir un accès non autorisé aux API Workspace.

Une faille de conception de Google Workspace permet un accès illégal aux API

Rencontrez le défaut de conception DeleFriend dans Google Cloud Platform

Doublé “SupprimerAmi,” ce Faille de Google permet la manipulation des délégations existantes dans Google Cloud Platform (GCP) et Google Workspace sans nécessiter de privilèges de super-administrateur, représentant une menace sérieuse pour la sécurité de Gmail, Google Drive, et autres services dans le domaine Workspace.




La vulnérabilité réside dans la conception des configurations de délégation de domaine, spécifiquement dans la façon dont l'ID OAuth détermine la délégation plutôt que les clés privées associées à l'objet d'identité du compte de service. Acteurs menaçants ayant un accès limité à un projet GCP cible pourrait exploiter cette faiblesse en créant de nombreux jetons Web JSON (JWT) avec différentes portées OAuth, visant à identifier les combinaisons réussies de paires de clés privées et d'étendues OAuth autorisées indiquant une délégation à l'échelle du domaine.


En termes plus simples, une identité avec la possibilité de créer de nouvelles clés privées pour une ressource de compte de service GCP pertinente, possédant déjà une autorisation de délégation à l'échelle du domaine, peut générer une nouvelle clé privée. Cette clé peut ensuite être utilisée pour exécuter des appels d'API vers Google Workspace au nom d'autres identités du domaine., conduisant potentiellement à l'exfiltration de données sensibles de services comme Gmail, Conduire, Calendrier, et de plus.

Chasseurs, la société de cybersécurité qui a découvert le défaut de conception, souligne les graves conséquences des acteurs malveillants exploitant la délégation à l’échelle du domaine, déclarant qu'il a le potentiel d'avoir un impact sur chaque identité au sein du domaine Workspace, par opposition au consentement OAuth individuel. Pour aider à détecter les erreurs de configuration, Hunters a publié une preuve de concept (PoC) qui met en valeur le potentiel de l'exploit, soulignant l'urgence de remédier à cette faille de sécurité critique dans Google Workspace.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord