Google Workspace のドメイン全体の委任における重大な設計上の欠陥 (DWD) 機能が発見されたばかりです, 脅威アクターが権限を昇格させ、Workspace API への不正アクセスを取得する可能性のある手段を提示します。.
Google Cloud Platform における DeleFriend の設計上の欠陥に対処する
吹き替え “デレフレンド,” これ Googleの欠陥 Google Cloud Platform での既存の委任の操作を許可します (GCP) 特権管理者権限を必要とせずに Google Workspace を利用できる, Gmail のセキュリティに重大な脅威をもたらす, グーグルドライブ, ワークスペース ドメイン内のその他のサービス.
脆弱性はドメイン委任構成の設計にあります。, 特に、サービス アカウント ID オブジェクトに関連付けられた秘密キーではなく、OAuth ID が委任を決定する方法について説明します。. ターゲット GCP プロジェクトへのアクセスが制限されている攻撃者 多数の JSON Web トークンを作成することでこの弱点を悪用する可能性があります (JWT) 異なる OAuth スコープを持つ, ドメイン全体の委任を示す秘密キーのペアと承認された OAuth スコープの適切な組み合わせを特定することを目的としています。.
もっと簡単に言うと, 関連する GCP サービス アカウント リソースの新しい秘密鍵を作成できる ID, すでにドメイン全体の委任権限を持っています, 新しい秘密鍵を生成できる. このキーを使用して、ドメイン内の他の ID に代わって Google Workspace への API 呼び出しを実行できます。, Gmail などのサービスから機密データが流出する可能性がある, ドライブ, カレンダー, もっと.
ハンター, 設計上の欠陥を発見したサイバーセキュリティ会社, 強調する 悪意のある攻撃者がドメイン全体の委任を悪用した場合の深刻な結果, Workspace ドメイン内のすべての ID に影響を与える可能性があると述べています, 個別の OAuth 同意とは対照的に. 構成ミスの検出を支援するため, Hunters が概念実証をリリースしました (PoC) エクスプロイトの可能性を示すもの, Google Workspace のこの重大なセキュリティの抜け穴に対処することが緊急であることを指摘.