Hunters Team Axon が Google Workspace を乗っ取りの危険にさらす可能性のある設計上の欠陥を発見

マサチューセッツ州ボストン、2023 年 11 月 28 日/Cyberwire/ -- Google Workspace のドメイン全体の委任機能の重大な設計上の欠陥が、米国の脅威ハンティング専門家によって発見されました。ハンターズチームアクソン、攻撃者が既存の委任を悪用し、スーパー管理者権限なしで権限昇格や Workspace API への不正アクセスが可能になる可能性があります。

このような悪用により、Gmail からのメールの盗難、Google ドライブからのデータの流出、またはターゲット ドメイン内のすべての ID に対する Google Workspace API 内でのその他の不正なアクションが発生する可能性があります。 Hunters は、この調査結果を公開する前に、責任を持ってこれを Google に開示し、Google と緊密に協力しました。

ドメイン全体の委任により、Google Cloud Platform（GCP）ID オブジェクトと Google Workspace アプリケーション間の包括的な委任が可能になります。つまり、GCP ID は、他の Workspace ユーザーに代わって、Gmail、Google カレンダー、Google ドライブなどの Google SaaS アプリケーション上でタスクを実行できるようになります。

Hunters のチームが「DeleFriend」と名付けたこの設計上の欠陥により、潜在的な攻撃者は、新しい委任の作成に不可欠な Workspace の高い権限を持つスーパー管理者の役割を持たずに、GCP と Google Workspace の既存の委任を操作できるようになります。

代わりに、ターゲット GCP プロジェクトへの権限の低いアクセスを使用して、さまざまな OAuth スコープで構成される多数の JSON ウェブ トークン (JWT) を作成し、サービス アカウントにドメインがあることを示す秘密キー ペアと承認された OAuth スコープの適切な組み合わせを正確に特定することを目的としています。幅広い委任が有効になりました。

根本的な原因は、ドメイン委任構成がサービス アカウント ID オブジェクトに関連付けられた特定の秘密キーではなく、サービス アカウント リソース識別子 (OAuth ID) によって決定されるという事実にあります。

さらに、API レベルでは JWT の組み合わせのファジングに関する制限が実装されていないため、既存の委任を検索して引き継ぐための多数のオプションを列挙するオプションが制限されません。

この欠陥は、上記の潜在的な影響により特別なリスクをもたらし、以下によって増幅されます。

• 長寿命: デフォルトでは、GCP サービス アカウント キーは有効期限なしで作成されます。この機能により、バックドアを確立し、長期的な永続性を確保するのに最適になります。

• 非表示が簡単: 既存の IAM の新しいサービス アカウント キーの作成、または API 承認ページ内の委任ルールの設定は、簡単に非表示にできます。これは、これらのページには通常、十分に調査されていない正当なエントリが多数掲載されているためです。

• 認識: IT 部門とセキュリティ部門は、ドメイン全体の委任機能を必ずしも認識しているとは限りません。特に、悪意のある悪用の可能性については気づいていない可能性があります。

• 検出が困難: 委任された API 呼び出しはターゲット ID に代わって作成されるため、API 呼び出しは被害者の詳細とともに対応する GWS 監査ログに記録されます。このため、そのようなアクティビティを特定することが困難になります。

  
  

「悪意のある攻撃者がドメイン全体の委任を悪用した場合の潜在的な影響は深刻です。個々の OAuth 同意のように、単一の ID にのみ影響を与えるのではなく、既存の委任で DWD を活用すると、Workspace ドメイン内のすべての ID に影響を与える可能性があります。」

ハンターズチームアクソンのヨナタン・カナシビリ氏は言う。

可能なアクションの範囲は、委任の OAuth スコープに応じて異なります。たとえば、Gmail からの電子メールの盗難、ドライブからのデータの流出、Google カレンダーからの会議の監視などです。

攻撃手法を実行するには、ターゲットのサービス アカウントに特定の GCP 権限が必要です。

しかし、Hunters は、GCP リソースのセキュリティ体制を維持していない組織では、このような許可が珍しいことではなく、この攻撃手法が非常に蔓延していることに気づきました。

「ベスト プラクティスを遵守し、権限とリソースを賢く管理することで、組織は攻撃手法の影響を大幅に最小限に抑えることができます。」

カナシビリ氏は続けた。

ハンターズが作成したのは、概念実証ツール(完全な詳細は完全な調査に含まれています) 組織が DWD の構成ミスを検出し、認識を高め、DeleFriend の悪用リスクを軽減するのを支援します。

このツールを使用すると、レッド チーム、侵入テスター、セキュリティ研究者は攻撃をシミュレートし、GCP IAM ユーザーから GCP プロジェクトの既存の委任への脆弱な攻撃パスを特定して、ワークスペースおよび GCP 環境のセキュリティ リスクと態勢を評価（そして改善）することができます。 。

HuntersのTeam Axonもまとめています総合的な研究これには、脆弱性がどのように機能するのかが正確に説明されているほか、徹底した脅威ハンティング、検出テクニック、ドメイン全体の委任攻撃に対抗するためのベスト プラクティスに関する推奨事項が記載されています。

ハンターズは 8 月に Google の「バグ ハンター」プログラムの一環として責任を持って DeleFriend を Google に報告し、Google のセキュリティ チームおよび製品チームと緊密に連携して適切な緩和戦略を検討しています。現在、Google はこの設計上の欠陥をまだ解決していません。

研究の全文を読むここ、ハンターズをフォローしてくださいチームアクソンのTwitter 。

ハンターについて

ハンターは、セキュリティ チームのリスク、複雑さ、コストを軽減するセキュリティ オペレーション センター (SOC) プラットフォームを提供します。 SIEM の代替となる Hunters SOC プラットフォームは、データの取り込み、組み込みの常に最新の脅威検出、自動相関および調査機能を提供し、実際の脅威を理解して対応する時間を最小限に抑えます。

Booking.com、ChargePoint、Yext、Upwork、Cimpress などの組織は、Hunters SOC プラットフォームを活用してセキュリティ チームを強化しています。 Hunters は、Stripes、YL Ventures、DTCP、Cisco Investments、Bessemer Venture Partners、US Venture Partners (USVP)、Microsoft のベンチャー ファンド M12、Blumberg Capital、Snowflake、Databricks、Okta を含む主要な VC および戦略的投資家によって支援されています。

接触

ヤエル・マシアス

[email protected]