Un défaut de conception critique dans la délégation à l'échelle du domaine de Google Workspace (DWD) la fonctionnalité vient d'être découverte, offrant aux acteurs malveillants un moyen potentiel d'élever leurs privilèges et d'obtenir un accès non autorisé aux API Workspace.
Rencontrez le défaut de conception DeleFriend dans Google Cloud Platform
Doublé “SupprimerAmi,” ce Faille de Google permet la manipulation des délégations existantes dans Google Cloud Platform (GCP) et Google Workspace sans nécessiter de privilèges de super-administrateur, représentant une menace sérieuse pour la sécurité de Gmail, Google Drive, et autres services dans le domaine Workspace.
La vulnérabilité réside dans la conception des configurations de délégation de domaine, spécifiquement dans la façon dont l'ID OAuth détermine la délégation plutôt que les clés privées associées à l'objet d'identité du compte de service. Acteurs menaçants ayant un accès limité à un projet GCP cible pourrait exploiter cette faiblesse en créant de nombreux jetons Web JSON (JWT) avec différentes portées OAuth, visant à identifier les combinaisons réussies de paires de clés privées et d'étendues OAuth autorisées indiquant une délégation à l'échelle du domaine.
En termes plus simples, une identité avec la possibilité de créer de nouvelles clés privées pour une ressource de compte de service GCP pertinente, possédant déjà une autorisation de délégation à l'échelle du domaine, peut générer une nouvelle clé privée. Cette clé peut ensuite être utilisée pour exécuter des appels d'API vers Google Workspace au nom d'autres identités du domaine., conduisant potentiellement à l'exfiltration de données sensibles de services comme Gmail, Conduire, Calendrier, et de plus.
Chasseurs, la société de cybersécurité qui a découvert le défaut de conception, souligne les graves conséquences des acteurs malveillants exploitant la délégation à l’échelle du domaine, déclarant qu'il a le potentiel d'avoir un impact sur chaque identité au sein du domaine Workspace, par opposition au consentement OAuth individuel. Pour aider à détecter les erreurs de configuration, Hunters a publié une preuve de concept (PoC) qui met en valeur le potentiel de l'exploit, soulignant l'urgence de remédier à cette faille de sécurité critique dans Google Workspace.