L'équipe Hunters Axon découvre une faille de conception qui pourrait rendre Google Workspace vulnérable au rachat

BOSTON, Massachusetts, 28 novembre 2023/Cyberwire/--Une grave faille de conception dans la fonctionnalité de délégation à l'échelle du domaine de Google Workspace découverte par des experts en chasse aux menaces de Équipe des Chasseurs Axon , peut permettre aux attaquants d'utiliser à mauvais escient les délégations existantes, permettant ainsi une élévation de privilèges et un accès non autorisé aux API Workspace sans privilèges de super-administrateur.

Une telle exploitation pourrait entraîner le vol d'e-mails depuis Gmail, l'exfiltration de données depuis Google Drive ou d'autres actions non autorisées au sein des API Google Workspace sur toutes les identités du domaine cible. Hunters a divulgué cela de manière responsable à Google et a travaillé en étroite collaboration avec eux avant de publier cette recherche.

La délégation à l'échelle du domaine permet une délégation complète entre les objets d'identité Google Cloud Platform (GCP) et les applications Google Workspace. En d'autres termes, il permet aux identités GCP d'exécuter des tâches sur les applications Google SaaS, telles que Gmail, Google Calendar, Google Drive, etc., pour le compte d'autres utilisateurs de Workspace.

La faille de conception, que l'équipe de Hunters a surnommée « DeleFriend », permet aux attaquants potentiels de manipuler les délégations existantes dans GCP et Google Workspace sans posséder le rôle de super-administrateur à privilèges élevés sur Workspace, essentiel pour créer de nouvelles délégations.

Au lieu de cela, avec un accès moins privilégié à un projet GCP cible, ils peuvent créer de nombreux jetons Web JSON (JWT) composés de différentes étendues OAuth, dans le but d'identifier les combinaisons réussies de paires de clés privées et d'étendues OAuth autorisées qui indiquent que le compte de service possède un domaine. une large délégation est activée.

La cause première réside dans le fait que la configuration de la délégation de domaine est déterminée par l'identifiant de ressource du compte de service (OAuth ID), et non par les clés privées spécifiques associées à l'objet d'identité du compte de service.

De plus, aucune restriction concernant le fuzzing des combinaisons JWT n'a été implémentée au niveau de l'API, ce qui ne restreint pas la possibilité d'énumérer de nombreuses options pour rechercher et reprendre les délégations existantes.

Cette faille présente un risque particulier en raison de l'impact potentiel décrit ci-dessus et est amplifié par les éléments suivants :

• Longue durée de vie : par défaut, les clés de compte du service GCP sont créées sans date d'expiration. Cette fonctionnalité les rend idéales pour établir des portes dérobées et garantir une persistance à long terme.

• Facile à masquer : la création de nouvelles clés de compte de service pour les IAM existants ou, alternativement, la définition d'une règle de délégation dans la page d'autorisation de l'API est facile à masquer. En effet, ces pages hébergent généralement un large éventail d’entrées légitimes, qui ne sont pas examinées de manière suffisamment approfondie.

• Sensibilisation : les services informatiques et de sécurité ne sont pas toujours conscients de la fonctionnalité de délégation à l'échelle du domaine. Ils pourraient notamment ignorer son potentiel d’abus malveillant.

• Difficile à détecter : étant donné que les appels d'API délégués sont créés au nom de l'identité cible, les appels d'API seront enregistrés avec les détails de la victime dans les journaux d'audit GWS correspondants. Il est donc difficile d’identifier de telles activités.

  
  

« Les conséquences potentielles d’un usage abusif de la délégation à l’échelle du domaine par des acteurs malveillants sont graves. Au lieu d'affecter une seule identité, comme avec le consentement OAuth individuel, l'exploitation de DWD avec la délégation existante peut avoir un impact sur chaque identité au sein du domaine Workspace.

» déclare Yonatan Khanashvili de l'équipe des chasseurs Axon.

La gamme d'actions possibles varie en fonction des étendues OAuth de la délégation. Par exemple, vol d'e-mails depuis Gmail, exfiltration de données depuis le lecteur ou surveillance de réunions depuis Google Agenda.

Afin d'exécuter la méthode d'attaque, une autorisation GCP particulière est nécessaire sur les comptes de service cibles.

Cependant, Hunters a observé qu'une telle autorisation n'est pas une pratique rare dans les organisations, ce qui rend cette technique d'attaque très répandue dans les organisations qui ne maintiennent pas de sécurité dans leurs ressources GCP.

« En adhérant aux meilleures pratiques et en gérant intelligemment les autorisations et les ressources, les organisations peuvent considérablement minimiser l'impact de la méthode d'attaque »

Khanachvili a poursuivi.

Hunters a créé un outil de preuve de concept (Tous les détails sont inclus dans la recherche complète) pour aider les organisations à détecter les erreurs de configuration DWD, à accroître la sensibilisation et à réduire les risques d'exploitation de DeleFriend.

Grâce à cet outil, les équipes rouges, les testeurs d'intrusion et les chercheurs en sécurité peuvent simuler des attaques et localiser les chemins d'attaque vulnérables des utilisateurs GCP IAM vers les délégations existantes dans leurs projets GCP afin d'évaluer (puis d'améliorer) le risque de sécurité et la posture de leur espace de travail et de leurs environnements GCP. .

L'équipe des chasseurs Axon a également compilé recherche approfondie qui explique exactement le fonctionnement de la vulnérabilité ainsi que des recommandations pour une recherche approfondie des menaces, des techniques de détection et les meilleures pratiques pour contrer les attaques par délégation à l'échelle du domaine.

Les chasseurs ont signalé DeleFriend à Google de manière responsable dans le cadre du programme « Bug Hunters » de Google en août et collaborent étroitement avec les équipes de sécurité et de produits de Google pour explorer des stratégies d'atténuation appropriées. Actuellement, Google n'a pas encore résolu le défaut de conception.

Lire l'intégralité de la recherche ici , et suivez les chasseurs L'équipe Axon sur Twitter .

À propos des chasseurs

Chasseurs fournit une plateforme de centre d'opérations de sécurité (SOC) qui réduit les risques, la complexité et les coûts pour les équipes de sécurité. Alternative SIEM, Hunters SOC Platform fournit une ingestion de données, une détection des menaces intégrée et toujours à jour, ainsi que des capacités de corrélation et d'enquête automatisées, minimisant ainsi le temps nécessaire pour comprendre et répondre aux menaces réelles.

Des organisations comme Booking.com, ChargePoint, Yext, Upwork et Cimpress exploitent la plateforme Hunters SOC pour responsabiliser leurs équipes de sécurité. Hunters est soutenu par des sociétés de capital-risque et des investisseurs stratégiques de premier plan, notamment Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), le fonds de capital-risque M12 de Microsoft, Blumberg Capital, Snowflake, Databricks et Okta.

Contact

Yaël Macias

[email protected]