Das Hunters-Team Axon entdeckt einen Designfehler, der Google Workspace anfällig für eine Übernahme machen könnte

BOSTON, Massachusetts, 28. November 2023/Cyberwire/--Ein schwerwiegender Designfehler in der domänenweiten Delegationsfunktion von Google Workspace wurde von Threat-Hunting-Experten entdeckt Jägerteam Axon , kann es Angreifern ermöglichen, bestehende Delegationen zu missbrauchen und so eine Rechteausweitung und unbefugten Zugriff auf Workspace-APIs ohne Superadministratorrechte zu ermöglichen.

Eine solche Ausnutzung könnte zum Diebstahl von E-Mails aus Gmail, zur Datenexfiltration aus Google Drive oder zu anderen nicht autorisierten Aktionen innerhalb der Google Workspace-APIs für alle Identitäten in der Zieldomäne führen. Hunters hat dies verantwortungsvoll gegenüber Google offengelegt und vor der Veröffentlichung dieser Studie eng mit ihnen zusammengearbeitet.

Die domänenweite Delegation ermöglicht eine umfassende Delegation zwischen Identitätsobjekten der Google Cloud Platform (GCP) und Google Workspace-Anwendungen. Mit anderen Worten: Es ermöglicht GCP-Identitäten, Aufgaben in Google SaaS-Anwendungen wie Gmail, Google Kalender, Google Drive und mehr im Namen anderer Workspace-Benutzer auszuführen.

Der Designfehler, den das Team von Hunters „DeleFriend“ getauft hat, ermöglicht es potenziellen Angreifern, bestehende Delegationen in GCP und Google Workspace zu manipulieren, ohne über die hochprivilegierte Super Admin-Rolle in Workspace zu verfügen, die für die Erstellung neuer Delegationen unerlässlich ist.

Stattdessen können sie mit weniger privilegiertem Zugriff auf ein GCP-Zielprojekt zahlreiche JSON-Web-Tokens (JWTs) erstellen, die aus verschiedenen OAuth-Bereichen bestehen, mit dem Ziel, erfolgreiche Kombinationen von privaten Schlüsselpaaren und autorisierten OAuth-Bereichen zu ermitteln, die darauf hinweisen, dass das Dienstkonto über domänenspezifische Berechtigungen verfügt. Breite Delegation aktiviert.

Die Hauptursache liegt in der Tatsache, dass die Konfiguration der Domänendelegierung durch die Ressourcenkennung des Dienstkontos (OAuth-ID) bestimmt wird und nicht durch die spezifischen privaten Schlüssel, die mit dem Identitätsobjekt des Dienstkontos verknüpft sind.

Darüber hinaus wurden auf API-Ebene keine Einschränkungen für das Fuzzing von JWT-Kombinationen implementiert, was die Möglichkeit zur Aufzählung zahlreicher Optionen zum Auffinden und Übernehmen vorhandener Delegationen nicht einschränkt.

Dieser Fehler stellt aufgrund der oben beschriebenen potenziellen Auswirkungen ein besonderes Risiko dar und wird durch Folgendes verstärkt:

• Lange Lebensdauer: Standardmäßig werden GCP-Dienstkontoschlüssel ohne Ablaufdatum erstellt. Diese Funktion macht sie ideal für die Einrichtung von Hintertüren und die Sicherstellung einer langfristigen Persistenz.

• Leicht zu verbergen: Die Erstellung neuer Dienstkontoschlüssel für bestehende IAMs oder alternativ das Setzen einer Delegationsregel innerhalb der API-Autorisierungsseite lässt sich leicht verbergen. Dies liegt daran, dass diese Seiten in der Regel eine Vielzahl legitimer Einträge enthalten, die nicht gründlich genug untersucht werden.

• Bekanntheit: IT- und Sicherheitsabteilungen sind sich der domänenweiten Delegationsfunktion möglicherweise nicht immer bewusst. Insbesondere sind sie sich möglicherweise nicht des Potenzials für böswilligen Missbrauch bewusst.

• Schwer zu erkennen: Da delegierte API-Aufrufe im Namen der Zielidentität erstellt werden, werden die API-Aufrufe mit den Opferdetails in den entsprechenden GWS-Überwachungsprotokollen protokolliert. Dies macht es schwierig, solche Aktivitäten zu identifizieren.

  
  

„Die potenziellen Folgen, wenn böswillige Akteure die domänenweite Delegation missbrauchen, sind schwerwiegend. Anstatt wie bei der individuellen OAuth-Zustimmung nur eine einzelne Identität zu beeinträchtigen, kann sich die Ausnutzung von DWD mit bestehender Delegation auf jede Identität innerhalb der Workspace-Domäne auswirken.“

sagt Yonatan Khanashvili vom Hunters' Team Axon.

Der Bereich möglicher Aktionen variiert je nach OAuth-Bereich der Delegation. Zum Beispiel E-Mail-Diebstahl aus Gmail, Datenexfiltration vom Laufwerk oder Überwachung von Besprechungen aus Google Kalender.

Um die Angriffsmethode auszuführen, ist eine bestimmte GCP-Berechtigung für die Zieldienstkonten erforderlich.

Hunters stellte jedoch fest, dass eine solche Erlaubnis in Unternehmen keine ungewöhnliche Praxis ist, weshalb diese Angriffstechnik in Organisationen weit verbreitet ist, die keinen Sicherheitsstatus in ihren GCP-Ressourcen aufrechterhalten.

„Durch die Einhaltung von Best Practices und die intelligente Verwaltung von Berechtigungen und Ressourcen können Unternehmen die Auswirkungen der Angriffsmethode drastisch minimieren.“

Khanashvili fuhr fort.

Hunters hat eine erstellt Proof-of-Concept-Tool (ausführliche Informationen finden Sie in der vollständigen Studie), um Organisationen bei der Erkennung von DWD-Fehlkonfigurationen zu unterstützen, das Bewusstsein zu schärfen und die Ausnutzungsrisiken von DeleFriend zu verringern.

Mit diesem Tool können Red Teams, Penetrationstester und Sicherheitsforscher Angriffe simulieren und anfällige Angriffspfade von GCP IAM-Benutzern zu bestehenden Delegationen in ihren GCP-Projekten lokalisieren, um das Sicherheitsrisiko und die Lage ihrer Workspace- und GCP-Umgebungen zu bewerten (und anschließend zu verbessern). .

Hunters‘ Team Axon hat ebenfalls zusammengestellt umfassende Recherche Darin wird genau beschrieben, wie die Schwachstelle funktioniert, sowie Empfehlungen für eine gründliche Bedrohungssuche, Erkennungstechniken und Best Practices zur Abwehr domänenweiter Delegationsangriffe.

Jäger haben DeleFriend im August im Rahmen des „Bug Hunters“-Programms von Google verantwortungsbewusst an Google gemeldet und arbeiten eng mit den Sicherheits- und Produktteams von Google zusammen, um geeignete Strategien zur Schadensbegrenzung zu entwickeln. Derzeit muss Google den Designfehler noch beheben.

Lesen Sie die vollständige Studie Hier , und folgen Sie Hunters' Team Axon auf Twitter .

Über Jäger

Jäger stellt eine Security Operations Center (SOC)-Plattform bereit, die Risiken, Komplexität und Kosten für Sicherheitsteams reduziert. Als SIEM-Alternative bietet die Hunters SOC-Plattform Datenerfassung, integrierte und stets aktuelle Bedrohungserkennung sowie automatisierte Korrelations- und Untersuchungsfunktionen und minimiert so die Zeit, echte Bedrohungen zu verstehen und darauf zu reagieren.

Organisationen wie Booking.com, ChargePoint, Yext, Upwork und Cimpress nutzen die Hunters SOC-Plattform, um ihre Sicherheitsteams zu stärken. Hunters wird von führenden VCs und strategischen Investoren unterstützt, darunter Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), Microsofts Risikofonds M12, Blumberg Capital, Snowflake, Databricks und Okta.

Kontakt

Yael Macias

[email protected]