Uma falha crítica de design na delegação em todo o domínio do Google Workspace (DWD) recurso acabou de ser descoberto, apresentando um caminho potencial para os agentes de ameaças escalarem privilégios e obterem acesso não autorizado às APIs do Workspace.
Conheça a falha de design DeleFriend no Google Cloud Platform
Apelidado “DeleFriend,” esta Falha do Google permite a manipulação de delegações existentes no Google Cloud Platform (GCP) e Google Workspace sem exigir privilégios de superadministrador, representando uma séria ameaça à segurança do Gmail, Google Drive, e outros serviços no domínio do Workspace.
A vulnerabilidade está no design das configurações de delegação de domínio, especificamente em como o ID OAuth determina a delegação, em vez das chaves privadas associadas ao objeto de identidade da conta de serviço. Atores de ameaças com acesso limitado a um projeto alvo do GCP poderia explorar essa fraqueza criando vários tokens JSON da web (JWTs) com diferentes escopos OAuth, com o objetivo de identificar combinações bem-sucedidas de pares de chaves privadas e escopos OAuth autorizados, indicando delegação em todo o domínio.
Em termos mais simples, uma identidade com a capacidade de criar novas chaves privadas para um recurso relevante da conta de serviço do GCP, já possui permissão de delegação em todo o domínio, pode gerar uma nova chave privada. Essa chave pode então ser usada para executar chamadas de API para o Google Workspace em nome de outras identidades no domínio, potencialmente levando à exfiltração de dados confidenciais de serviços como o Gmail, Dirigir, Calendário, e mais.
caçadores, a empresa de segurança cibernética que descobriu a falha de design, enfatiza as graves consequências de atores mal-intencionados que exploram a delegação em todo o domínio, afirmando que tem o potencial de impactar todas as identidades dentro do domínio do Workspace, em oposição ao consentimento individual do OAuth. Para ajudar na detecção de configurações incorretas, Hunters lançou uma prova de conceito (PoC) que mostra o potencial da exploração, apontando para a urgência de resolver essa lacuna crítica de segurança no Google Workspace.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: