Un difetto di progettazione critico nella delega a livello di dominio di Google Workspace (DWD) la funzionalità è stata appena scoperta, presentando una potenziale via per gli autori delle minacce per aumentare i privilegi e ottenere accesso non autorizzato alle API di Workspace.
Scopri il difetto di progettazione di DeleFriend in Google Cloud Platform
Soprannominato “DelAmico,” Questo Difetto di Google consente la manipolazione delle deleghe esistenti nella Google Cloud Platform (GCP) e Google Workspace senza richiedere i privilegi di super amministratore, rappresentando una seria minaccia per la sicurezza di Gmail, Google Drive, e altri servizi all'interno del dominio Workspace.
La vulnerabilità risiede nella progettazione delle configurazioni di delega del dominio, in particolare nel modo in cui l'ID OAuth determina la delega anziché le chiavi private associate all'oggetto identità dell'account di servizio. Attori di minacce con accesso limitato a un progetto GCP target potrebbe sfruttare questa debolezza creando numerosi token web JSON (JWT) con ambiti OAuth diversi, con l'obiettivo di identificare combinazioni riuscite di coppie di chiavi private e ambiti OAuth autorizzati che indicano la delega a livello di dominio.
In termini più semplici, un'identità con la possibilità di creare nuove chiavi private per una risorsa dell'account di servizio GCP pertinente, già in possesso dell'autorizzazione di delega a livello di dominio, può generare una nuova chiave privata. Questa chiave può quindi essere utilizzata per eseguire chiamate API a Google Workspace per conto di altre identità nel dominio, portando potenzialmente all'esfiltrazione di dati sensibili da servizi come Gmail, Guidare, Calendario, e altro ancora.
Cacciatori, l’azienda di sicurezza informatica che ha scoperto il difetto di progettazione, sottolinea le gravi conseguenze derivanti dallo sfruttamento della delega a livello di dominio da parte di soggetti malintenzionati, affermando che ha il potenziale per avere un impatto su ogni identità all'interno del dominio Workspace, in contrapposizione al consenso OAuth individuale. Per facilitare il rilevamento di configurazioni errate, Hunters ha rilasciato una prova di concetto (PoC) che mostra il potenziale dell'exploit, sottolineando l'urgenza di risolvere questa fondamentale lacuna di sicurezza in Google Workspace.