Hunters Team Axon descubre un defecto de diseño que podría dejar a Google Workspace vulnerable a la adquisición

BOSTON, Massachusetts, 28 de noviembre de 2023/Cyberwire/--Un error de diseño grave en la función de delegación de todo el dominio de Google Workspace descubierto por expertos en búsqueda de amenazas de Equipo de cazadores Axon , puede permitir a los atacantes hacer un mal uso de las delegaciones existentes, lo que permite la escalada de privilegios y el acceso no autorizado a las API de Workspace sin privilegios de superadministrador.

Dicha explotación podría resultar en el robo de correos electrónicos de Gmail, la filtración de datos de Google Drive u otras acciones no autorizadas dentro de las API de Google Workspace en todas las identidades del dominio de destino. Hunters informó esto de manera responsable a Google y trabajó en estrecha colaboración con ellos antes de publicar esta investigación.

La delegación de todo el dominio permite una delegación integral entre los objetos de identidad de Google Cloud Platform (GCP) y las aplicaciones de Google Workspace. En otras palabras, permite que las identidades de GCP ejecuten tareas en aplicaciones SaaS de Google, como Gmail, Google Calendar, Google Drive y más, en nombre de otros usuarios de Workspace.

La falla de diseño, que el equipo de Hunters ha denominado "DeleFriend", permite a atacantes potenciales manipular las delegaciones existentes en GCP y Google Workspace sin poseer el rol de súper administrador de alto privilegio en Workspace, que es esencial para crear nuevas delegaciones.

En cambio, con acceso menos privilegiado a un proyecto de GCP objetivo, pueden crear numerosos tokens web JSON (JWT) compuestos de diferentes alcances de OAuth, con el objetivo de identificar combinaciones exitosas de pares de claves privadas y alcances de OAuth autorizados que indiquen que la cuenta de servicio tiene dominio. amplia delegación habilitada.

La causa principal radica en el hecho de que la configuración de la delegación del dominio está determinada por el identificador de recursos de la cuenta de servicio (ID de OAuth) y no por las claves privadas específicas asociadas con el objeto de identidad de la cuenta de servicio.

Además, no se implementaron restricciones para la confusión de combinaciones JWT en el nivel API, lo que no restringe la opción de enumerar numerosas opciones para encontrar y hacerse cargo de las delegaciones existentes.

Esta falla plantea un riesgo especial debido al impacto potencial descrito anteriormente y se ve amplificado por lo siguiente:

• Larga duración: de forma predeterminada, las claves de cuenta del servicio GCP se crean sin fecha de vencimiento. Esta característica los hace ideales para establecer puertas traseras y garantizar la persistencia a largo plazo.

• Fácil de ocultar: la creación de nuevas claves de cuenta de servicio para IAM existentes o, alternativamente, la configuración de una regla de delegación dentro de la página de autorización de API es fácil de ocultar. Esto se debe a que estas páginas suelen albergar una amplia gama de entradas legítimas, que no se examinan lo suficientemente a fondo.

• Conciencia: Es posible que los departamentos de TI y seguridad no siempre conozcan la función de delegación en todo el dominio. En particular, es posible que no sean conscientes de su potencial de abuso malicioso.

• Difícil de detectar: dado que las llamadas API delegadas se crean en nombre de la identidad de destino, las llamadas API se registrarán con los detalles de la víctima en los registros de auditoría de GWS correspondientes. Esto hace que sea difícil identificar dichas actividades.

  
  

“Las posibles consecuencias de que actores malintencionados hagan un mal uso de la delegación en todo el dominio son graves. En lugar de afectar solo una identidad, como ocurre con el consentimiento individual de OAuth, explotar DWD con la delegación existente puede afectar todas las identidades dentro del dominio del espacio de trabajo”.

dice Yonatan Khanashvili del equipo Axon de Hunters.

La gama de acciones posibles varía según los alcances de OAuth de la delegación. Por ejemplo, robo de correo electrónico de Gmail, filtración de datos del disco o seguimiento de reuniones desde Google Calendar.

Para ejecutar el método de ataque, se necesita un permiso de GCP particular en las cuentas de servicio de destino.

Sin embargo, Hunters observó que dicho permiso no es una práctica poco común en las organizaciones, lo que hace que esta técnica de ataque sea muy frecuente en organizaciones que no mantienen una postura de seguridad en sus recursos de GCP.

"Al adherirse a las mejores prácticas y gestionar permisos y recursos de manera inteligente, las organizaciones pueden minimizar drásticamente el impacto del método de ataque"

Khanashvili continuó.

Hunters ha creado un herramienta de prueba de concepto (Los detalles completos se incluyen en la investigación completa) para ayudar a las organizaciones a detectar configuraciones incorrectas de DWD, aumentar la conciencia y reducir los riesgos de explotación de DeleFriend.

Con esta herramienta, los equipos rojos, los evaluadores de penetración y los investigadores de seguridad pueden simular ataques y localizar rutas de ataque vulnerables de los usuarios de IAM de GCP a las delegaciones existentes en sus proyectos de GCP para evaluar (y luego mejorar) el riesgo de seguridad y la postura de su espacio de trabajo y entornos de GCP. .

El equipo de cazadores Axon también ha recopilado investigación integral que establece exactamente cómo funciona la vulnerabilidad, así como recomendaciones para una búsqueda exhaustiva de amenazas, técnicas de detección y mejores prácticas para contrarrestar los ataques de delegación en todo el dominio.

Hunters informó responsablemente sobre DeleFriend a Google como parte del programa "Bug Hunters" de Google en agosto y está colaborando estrechamente con los equipos de seguridad y productos de Google para explorar estrategias de mitigación apropiadas. Actualmente, Google aún tiene que resolver el defecto de diseño.

Lea la investigación completa aquí y sigue a los cazadores Equipo Axon en Twitter .

Acerca de los cazadores

Cazadores ofrece una plataforma de centro de operaciones de seguridad (SOC) que reduce el riesgo, la complejidad y el costo para los equipos de seguridad. Hunters SOC Platform, una alternativa SIEM, proporciona ingesta de datos, detección de amenazas integrada y siempre actualizada, y capacidades automatizadas de correlación e investigación, minimizando el tiempo para comprender y responder a amenazas reales.

Organizaciones como Booking.com, ChargePoint, Yext, Upwork y Cimpress aprovechan la plataforma Hunters SOC para empoderar a sus equipos de seguridad. Hunters cuenta con el respaldo de importantes capitalistas de riesgo e inversores estratégicos, incluidos Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), el fondo de riesgo de Microsoft M12, Blumberg Capital, Snowflake, Databricks y Okta.

Contacto

Yael Macías

[email protected]