A equipe de Hunters Axon descobre uma falha de design que pode deixar o Google Workspace vulnerável para aquisição

BOSTON, Massachusetts, 28 de novembro de 2023/Cyberwire/--Uma grave falha de design no recurso de delegação em todo o domínio do Google Workspace descoberta por especialistas em caça a ameaças de Equipe de Caçadores Axon , pode permitir que invasores usem indevidamente as delegações existentes, permitindo o escalonamento de privilégios e o acesso não autorizado às APIs do Workspace sem privilégios de superadministrador.

Essa exploração pode resultar no roubo de e-mails do Gmail, na exfiltração de dados do Google Drive ou em outras ações não autorizadas nas APIs do Google Workspace em todas as identidades no domínio de destino. Hunters divulgou isso de forma responsável ao Google e trabalhou em estreita colaboração com eles antes de publicar esta pesquisa.

A delegação em todo o domínio permite uma delegação abrangente entre objetos de identidade do Google Cloud Platform (GCP) e aplicativos do Google Workspace. Em outras palavras, permite que as identidades do GCP executem tarefas em aplicativos Google SaaS, como Gmail, Google Calendar, Google Drive e muito mais, em nome de outros usuários do Workspace.

A falha de design, que a equipe da Hunters apelidou de “DeleFriend”, permite que invasores em potencial manipulem delegações existentes no GCP e no Google Workspace sem possuir a função de superadministrador de alto privilégio no Workspace, que é essencial para a criação de novas delegações.

Em vez disso, com acesso menos privilegiado a um projeto de destino do GCP, eles podem criar vários tokens Web JSON (JWTs) compostos de diferentes escopos OAuth, com o objetivo de identificar combinações bem-sucedidas de pares de chaves privadas e escopos OAuth autorizados que indicam que a conta de serviço tem domínio- ampla delegação habilitada.

A causa raiz reside no fato de que a configuração da delegação de domínio é determinada pelo identificador de recurso da conta de serviço (ID OAuth) e não pelas chaves privadas específicas associadas ao objeto de identidade da conta de serviço.

Além disso, nenhuma restrição para difusão de combinações JWT foi implementada no nível da API, o que não restringe a opção de enumerar inúmeras opções para localizar e assumir o controle de delegações existentes.

Esta falha representa um risco especial devido ao impacto potencial descrito acima e é amplificado pelo seguinte:

• Longa vida útil: por padrão, as chaves da conta do serviço GCP são criadas sem data de validade. Esse recurso os torna ideais para estabelecer backdoors e garantir persistência a longo prazo.

• Fácil de ocultar: a criação de novas chaves de conta de serviço para IAMs existentes ou, alternativamente, a configuração de uma regra de delegação na página de autorização da API é fácil de ocultar. Isso ocorre porque essas páginas normalmente hospedam uma grande variedade de entradas legítimas, que não são examinadas suficientemente minuciosamente.

• Conscientização: os departamentos de TI e segurança nem sempre estão cientes do recurso de delegação em todo o domínio. Eles podem especialmente não estar cientes do seu potencial para abusos maliciosos.

• Difícil de detectar: como as chamadas de API delegadas são criadas em nome da identidade de destino, as chamadas de API serão registradas com os detalhes da vítima nos registros de auditoria correspondentes do GWS. Isto torna difícil identificar tais atividades.

  
  

“As possíveis consequências do uso indevido da delegação em todo o domínio por parte de atores mal-intencionados são graves. Em vez de afetar apenas uma única identidade, como acontece com o consentimento individual do OAuth, a exploração do DWD com a delegação existente pode afetar todas as identidades dentro do domínio do Workspace”,

diz Yonatan Khanashvili da equipe Axon de Hunters.

A gama de ações possíveis varia de acordo com os escopos OAuth da delegação. Por exemplo, roubo de e-mail do Gmail, exfiltração de dados da unidade ou monitoramento de reuniões do Google Agenda.

Para executar o método de ataque, é necessária uma permissão específica do GCP nas contas de serviço de destino.

No entanto, Hunters observou que tal permissão não é uma prática incomum em organizações, tornando esta técnica de ataque altamente prevalente em organizações que não mantêm uma postura de segurança em seus recursos do GCP.

“Ao aderir às melhores práticas e gerenciar permissões e recursos de forma inteligente, as organizações podem minimizar drasticamente o impacto do método de ataque”

Khanashvili continuou.

Hunters criou um ferramenta de prova de conceito (detalhes completos estão incluídos na pesquisa completa) para ajudar as organizações a detectar configurações incorretas de DWD, aumentar a conscientização e reduzir os riscos de exploração do DeleFriend.

Usando esta ferramenta, red team, pen testers e pesquisadores de segurança podem simular ataques e localizar caminhos de ataque vulneráveis de usuários IAM do GCP para delegações existentes em seus projetos do GCP para avaliar (e depois melhorar) o risco de segurança e a postura de seu espaço de trabalho e ambientes do GCP .

A equipe Axon dos Hunters também compilou pesquisa abrangente que descreve exatamente como a vulnerabilidade funciona, bem como recomendações para caça completa a ameaças, técnicas de detecção e práticas recomendadas para combater ataques de delegação em todo o domínio.

A Hunters relatou responsavelmente o DeleFriend ao Google como parte do programa “Bug Hunters” do Google em agosto e está colaborando estreitamente com as equipes de segurança e produtos do Google para explorar estratégias de mitigação apropriadas. Atualmente, o Google ainda não resolveu a falha de design.

Leia a pesquisa completa aqui , e siga os Caçadores Equipe Axon no Twitter .

Sobre Caçadores

caçadores oferece uma plataforma Security Operations Center (SOC) que reduz riscos, complexidade e custos para equipes de segurança. Uma alternativa SIEM, a Plataforma SOC da Hunter fornece ingestão de dados, detecção de ameaças integrada e sempre atualizada e recursos automatizados de correlação e investigação, minimizando o tempo para entender e responder a ameaças reais.

Organizações como Booking.com, ChargePoint, Yext, Upwork e Cimpress aproveitam a plataforma SOC da Hunter para capacitar suas equipes de segurança. A Hunters é apoiada pelos principais VCs e investidores estratégicos, incluindo Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), fundo de risco da Microsoft M12, Blumberg Capital, Snowflake, Databricks e Okta.

Contato

Yael Macias

[email protected]