Een kritieke ontwerpfout in de domeinbrede delegatie van Google Workspace (DWD) functie is zojuist ontdekt, dit biedt een potentiële mogelijkheid voor bedreigingsactoren om bevoegdheden te escaleren en ongeautoriseerde toegang te verkrijgen tot Workspace API's.
Maak kennis met de DeleFriend-ontwerpfout in Google Cloud Platform
Dubbed “DeelVriend,” deze Google-fout maakt manipulatie van bestaande delegaties in het Google Cloud Platform mogelijk (GCP) en Google Workspace zonder dat u hoofdbeheerdersrechten nodig heeft, vormt een ernstige bedreiging voor de veiligheid van Gmail, Google Drive, en andere diensten binnen het Workspace-domein.
Het beveiligingslek ligt in het ontwerp van configuraties voor domeindelegatie, specifiek in de manier waarop de OAuth-ID de delegatie bepaalt in plaats van de privésleutels die zijn gekoppeld aan het identiteitsobject van het serviceaccount. Bedreigingsactoren met beperkte toegang tot een doel-GCP-project zou deze zwakte kunnen uitbuiten door talloze JSON-webtokens te maken (JWT's) met verschillende OAuth-scopes, gericht op het identificeren van succesvolle combinaties van privésleutelparen en geautoriseerde OAuth-scopes die domeinbrede delegatie aangeven.
In eenvoudiger bewoordingen, een identiteit met de mogelijkheid om nieuwe privésleutels te maken voor een relevante GCP-serviceaccountbron, al in het bezit zijn van machtigingen voor domeinbrede delegatie, kan een nieuwe privésleutel genereren. Deze sleutel kan vervolgens worden gebruikt om API-aanroepen naar Google Workspace uit te voeren namens andere identiteiten in het domein, Dit kan mogelijk leiden tot de exfiltratie van gevoelige gegevens uit services als Gmail, Rijden, Kalender, en.
Jagers, het cyberbeveiligingsbedrijf dat de ontwerpfout ontdekte, benadrukt de ernstige gevolgen van kwaadwillende actoren die domeinbrede delegatie misbruiken, waarin wordt gesteld dat het de potentie heeft om elke identiteit binnen het Workspace-domein te beïnvloeden, in tegenstelling tot individuele OAuth-toestemming. Om te helpen bij het opsporen van verkeerde configuraties, Hunters heeft een proof-of-concept uitgebracht (PoC) dat het potentieel van de exploit laat zien, wijzend op de urgentie om dit kritieke beveiligingslek in Google Workspace aan te pakken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: