बोस्टन, मैसाचुसेट्स, नवंबर 28, 2023/साइबरवायर/--Google वर्कस्पेस के डोमेन-वाइड डेलिगेशन फ़ीचर में एक गंभीर डिज़ाइन दोष, खतरे का पता लगाने वाले विशेषज्ञों द्वारा खोजा गया , हमलावरों को मौजूदा प्रतिनिधिमंडलों का दुरुपयोग करने की अनुमति दे सकता है, जिससे विशेषाधिकार वृद्धि और सुपर एडमिन विशेषाधिकारों के बिना वर्कस्पेस एपीआई तक अनधिकृत पहुंच सक्षम हो सकती है। हंटर्स टीम एक्सॉन इस तरह के शोषण के परिणामस्वरूप जीमेल से ईमेल की चोरी हो सकती है, Google ड्राइव से डेटा की घुसपैठ हो सकती है, या लक्ष्य डोमेन में सभी पहचानों पर Google वर्कस्पेस एपीआई के भीतर अन्य अनधिकृत गतिविधियां हो सकती हैं। हंटर्स ने जिम्मेदारीपूर्वक Google को इसका खुलासा किया है और इस शोध को प्रकाशित करने से पहले उनके साथ मिलकर काम किया है। डोमेन-व्यापी प्रतिनिधिमंडल Google क्लाउड प्लेटफ़ॉर्म (जीसीपी) पहचान वस्तुओं और Google कार्यक्षेत्र अनुप्रयोगों के बीच एक व्यापक प्रतिनिधिमंडल की अनुमति देता है। दूसरे शब्दों में, यह जीसीपी पहचान को अन्य कार्यक्षेत्र उपयोगकर्ताओं की ओर से Google SaaS अनुप्रयोगों, जैसे जीमेल, Google कैलेंडर, Google ड्राइव और अधिक पर कार्यों को निष्पादित करने में सक्षम बनाता है। डिज़ाइन दोष, जिसे हंटर्स की टीम ने "डेलफ्रेंड" करार दिया है, संभावित हमलावरों को वर्कस्पेस पर उच्च-विशेषाधिकार प्राप्त सुपर एडमिन भूमिका के बिना जीसीपी और Google वर्कस्पेस में मौजूदा प्रतिनिधिमंडलों में हेरफेर करने की अनुमति देता है, जो नए प्रतिनिधिमंडल बनाने के लिए आवश्यक है। इसके बजाय, लक्ष्य GCP प्रोजेक्ट तक कम विशेषाधिकार प्राप्त पहुंच के साथ, वे विभिन्न OAuth स्कोप से बने कई JSON वेब टोकन (JWT) बना सकते हैं, जिसका लक्ष्य निजी कुंजी जोड़े और अधिकृत OAuth स्कोप के सफल संयोजनों को इंगित करना है जो इंगित करते हैं कि सेवा खाते में डोमेन है- विस्तृत प्रतिनिधिमंडल सक्षम। मूल कारण इस तथ्य में निहित है कि डोमेन डेलिगेशन कॉन्फ़िगरेशन सेवा खाता संसाधन पहचानकर्ता (OAuth ID) द्वारा निर्धारित किया जाता है, न कि सेवा खाता पहचान ऑब्जेक्ट से जुड़ी विशिष्ट निजी कुंजियों द्वारा। इसके अतिरिक्त, एपीआई स्तर पर जेडब्ल्यूटी संयोजनों की फ़ज़िंग के लिए कोई प्रतिबंध लागू नहीं किया गया था, जो मौजूदा प्रतिनिधिमंडलों को खोजने और लेने के लिए कई विकल्पों की गणना करने के विकल्प को प्रतिबंधित नहीं करता है। यह दोष ऊपर वर्णित संभावित प्रभाव के कारण एक विशेष जोखिम पैदा करता है और इसे निम्नलिखित द्वारा बढ़ाया गया है: लंबा जीवन: डिफ़ॉल्ट रूप से, GCP सेवा खाता कुंजियाँ बिना किसी समाप्ति तिथि के बनाई जाती हैं। यह सुविधा उन्हें बैकडोर स्थापित करने और दीर्घकालिक दृढ़ता सुनिश्चित करने के लिए आदर्श बनाती है। छिपाना आसान: मौजूदा आईएएम के लिए नई सेवा खाता कुंजियों का निर्माण या, वैकल्पिक रूप से, एपीआई प्राधिकरण पृष्ठ के भीतर एक प्रतिनिधिमंडल नियम की सेटिंग को छिपाना आसान है। ऐसा इसलिए है क्योंकि ये पृष्ठ आम तौर पर वैध प्रविष्टियों की एक विस्तृत श्रृंखला को होस्ट करते हैं, जिनकी पर्याप्त रूप से जांच नहीं की जाती है। जागरूकता: आईटी और सुरक्षा विभाग हमेशा डोमेन-व्यापी प्रतिनिधिमंडल सुविधा से अवगत नहीं हो सकते हैं। वे विशेष रूप से इसके दुर्भावनापूर्ण दुरुपयोग की संभावना से अनभिज्ञ हो सकते हैं। पता लगाना कठिन: चूंकि प्रत्यायोजित एपीआई कॉल लक्ष्य पहचान की ओर से बनाई गई हैं, इसलिए एपीआई कॉल को संबंधित जीडब्ल्यूएस ऑडिट लॉग में पीड़ित विवरण के साथ लॉग किया जाएगा। इससे ऐसी गतिविधियों की पहचान करना चुनौतीपूर्ण हो जाता है। “दुर्भावनापूर्ण अभिनेताओं द्वारा डोमेन-व्यापी प्रतिनिधिमंडल का दुरुपयोग करने के संभावित परिणाम गंभीर हैं। केवल एक पहचान को प्रभावित करने के बजाय, जैसा कि व्यक्तिगत OAuth सहमति के साथ होता है, मौजूदा प्रतिनिधिमंडल के साथ DWD का शोषण कार्यक्षेत्र डोमेन के भीतर हर पहचान को प्रभावित कर सकता है। हंटर्स टीम एक्सॉन के योनातन खानश्विली कहते हैं। संभावित कार्रवाइयों की सीमा प्रतिनिधिमंडल के OAuth दायरे के आधार पर भिन्न होती है। उदाहरण के लिए, जीमेल से ईमेल चोरी, ड्राइव से डेटा चोरी, या Google कैलेंडर से मीटिंग की निगरानी करना। हमले की विधि को निष्पादित करने के लिए, लक्ष्य सेवा खातों पर एक विशेष जीसीपी अनुमति की आवश्यकता होती है। हालाँकि, हंटर्स ने देखा कि इस तरह की अनुमति उन संगठनों में एक असामान्य प्रथा नहीं है जो इस हमले की तकनीक को उन संगठनों में अत्यधिक प्रचलित बनाती है जो अपने जीसीपी संसाधनों में सुरक्षा स्थिति बनाए नहीं रखते हैं। "सर्वोत्तम प्रथाओं का पालन करके, और अनुमतियों और संसाधनों को स्मार्ट तरीके से प्रबंधित करके, संगठन हमले के तरीके के प्रभाव को नाटकीय रूप से कम कर सकते हैं" खानश्विली ने जारी रखा। हंटर्स ने बनाया है (पूर्ण विवरण संपूर्ण शोध में शामिल हैं) DWD गलत कॉन्फ़िगरेशन का पता लगाने, जागरूकता बढ़ाने और DeleFriend के शोषण जोखिमों को कम करने में संगठनों की सहायता के लिए। अवधारणा का प्रमाण उपकरण इस उपकरण का उपयोग करके, रेड टीमें, पेन परीक्षक और सुरक्षा शोधकर्ता हमलों का अनुकरण कर सकते हैं और अपने कार्यस्थल और जीसीपी वातावरण के सुरक्षा जोखिम और स्थिति का मूल्यांकन (और फिर सुधार) करने के लिए अपने जीसीपी परियोजनाओं में मौजूदा प्रतिनिधिमंडलों के लिए जीसीपी आईएएम उपयोगकर्ताओं के कमजोर हमले पथ का पता लगा सकते हैं। . हंटर्स टीम एक्सॉन ने भी संकलन किया है यह सटीक रूप से बताता है कि भेद्यता कैसे काम करती है और साथ ही डोमेन-व्यापी प्रतिनिधिमंडल हमलों का मुकाबला करने के लिए पूरी तरह से खतरे की तलाश, पहचान तकनीकों और सर्वोत्तम प्रथाओं के लिए सिफारिशें भी करती हैं। व्यापक शोध हंटर्स ने जिम्मेदारी से अगस्त में Google के "बग हंटर्स" कार्यक्रम के हिस्से के रूप में Google को DeleFriend की सूचना दी, और उचित शमन रणनीतियों का पता लगाने के लिए Google की सुरक्षा और उत्पाद टीमों के साथ मिलकर सहयोग कर रहे हैं। फ़िलहाल, Google ने अभी तक डिज़ाइन दोष का समाधान नहीं किया है। पूरा शोध पढ़ें , और हंटर्स का अनुसरण करें' . यहाँ ट्विटर पर टीम एक्सॉन शिकारियों के बारे में एक सुरक्षा संचालन केंद्र (एसओसी) प्लेटफ़ॉर्म प्रदान करता है जो सुरक्षा टीमों के लिए जोखिम, जटिलता और लागत को कम करता है। एक एसआईईएम विकल्प, हंटर्स एसओसी प्लेटफ़ॉर्म डेटा अंतर्ग्रहण, अंतर्निहित और हमेशा अद्यतन खतरे का पता लगाने, और स्वचालित सहसंबंध और जांच क्षमताएं प्रदान करता है, जिससे वास्तविक खतरों को समझने और प्रतिक्रिया देने का समय कम हो जाता है। शिकारी बुकिंग.कॉम, चार्जप्वाइंट, येक्स्ट, अपवर्क और सिम्प्रेस जैसे संगठन अपनी सुरक्षा टीमों को सशक्त बनाने के लिए हंटर्स एसओसी प्लेटफॉर्म का लाभ उठाते हैं। हंटर्स को स्ट्राइप्स, वाईएल वेंचर्स, डीटीसीपी, सिस्को इन्वेस्टमेंट्स, बेसेमर वेंचर पार्टनर्स, यूएस वेंचर पार्टनर्स (यूएसवीपी), माइक्रोसॉफ्ट के वेंचर फंड एम12, ब्लमबर्ग कैपिटल, स्नोफ्लेक, डेटाब्रिक्स और ओक्टा सहित प्रमुख वीसी और रणनीतिक निवेशकों का समर्थन प्राप्त है। संपर्क येल मैकियास yael@hunters.security यह कहानी हैकरनून के बिजनेस ब्लॉगिंग प्रोग्राम के तहत साइबरवायर द्वारा एक रिलीज के रूप में वितरित की गई थी। कार्यक्रम के बारे में और जानें . यहाँ
