415 чтения

Команда охотников Axon обнаружила недостаток в конструкции, который может сделать Google Workspace уязвимым для захвата

к CyberNewswire4m2023/11/28

Слишком долго; Читать

Недостаток дизайна в делегировании всего домена может сделать Google Workspace уязвимым для захвата, говорит компания по кибербезопасности Hunters. Ошибка дизайна, которую команда Hunters назвала «DeleFriend», позволяет потенциальным злоумышленникам манипулировать существующими делегациями.

featured image - Команда охотников Axon обнаружила недостаток в конструкции, который может сделать Google Workspace уязвимым для захвата

БОСТОН, Массачусетс, 28 ноября 2023 г./Cyberwire/— Серьезный конструктивный недостаток функции делегирования домена Google Workspace, обнаруженный экспертами по поиску угроз из Команда охотников «Аксон» , может позволить злоумышленникам злоупотреблять существующим делегированием, обеспечивая повышение привилегий и несанкционированный доступ к API Workspace без привилегий суперадминистратора.

Такая эксплуатация может привести к краже электронных писем из Gmail, утечке данных с Google Диска или другим несанкционированным действиям в API Google Workspace в отношении всех учетных записей в целевом домене. Хантерс ответственно сообщил об этом Google и тесно сотрудничал с ними перед публикацией этого исследования.

Делегирование на уровне домена обеспечивает комплексное делегирование между объектами идентификации Google Cloud Platform (GCP) и приложениями Google Workspace. Другими словами, он позволяет удостоверениям GCP выполнять задачи в приложениях Google SaaS, таких как Gmail, Календарь Google, Google Диск и других, от имени других пользователей Workspace.

Ошибка дизайна, которую команда Hunters назвала «DeleFriend», позволяет потенциальным злоумышленникам манипулировать существующими делегированиями в GCP и Google Workspace, не обладая привилегированной ролью суперадминистратора в Workspace, которая необходима для создания новых делегирований.

Вместо этого, имея менее привилегированный доступ к целевому проекту GCP, они могут создавать многочисленные веб-токены JSON (JWT), состоящие из различных областей OAuth, с целью точно определить успешные комбинации пар закрытых ключей и авторизованных областей OAuth, которые указывают, что учетная запись службы имеет доменное имя. широкое делегирование включено.

Основная причина заключается в том, что конфигурация делегирования домена определяется идентификатором ресурса учетной записи службы (идентификатор OAuth), а не конкретными закрытыми ключами, связанными с объектом идентификации учетной записи службы.

Кроме того, на уровне API не было реализовано никаких ограничений на фаззинг комбинаций JWT, что не ограничивает возможность перебора многочисленных вариантов поиска и принятия существующих делегаций.

Этот недостаток представляет особый риск из-за потенциального воздействия, описанного выше, и усиливается следующим:

Длительный срок действия: по умолчанию ключи учетной записи службы GCP создаются без срока действия. Эта особенность делает их идеальными для создания бэкдоров и обеспечения долгосрочной устойчивости.
Легко скрыть: создание новых ключей сервисной учетной записи для существующих IAM или, альтернативно, настройку правила делегирования на странице авторизации API легко скрыть. Это связано с тем, что на этих страницах обычно размещается широкий спектр законных записей, которые не проверяются достаточно тщательно.
Осведомленность: отделы ИТ и безопасности не всегда могут быть осведомлены о функции делегирования на уровне домена. Они могут особенно не знать о его потенциале злонамеренного злоупотребления.
Трудно обнаружить: поскольку делегированные вызовы API создаются от имени целевого идентификатора, вызовы API будут регистрироваться с данными жертвы в соответствующих журналах аудита GWS. Это затрудняет выявление таких видов деятельности.

«Потенциальные последствия злоумышленников, злоупотребляющих делегированием по всему домену, серьезны. Вместо того, чтобы затрагивать только один идентификатор, как в случае с индивидуальным согласием OAuth, использование DWD с существующим делегированием может повлиять на каждый идентификатор в домене Workspace».

- говорит Йонатан Ханашвили из команды охотников «Аксон».

Диапазон возможных действий зависит от области делегирования OAuth. Например, кража электронной почты из Gmail, утечка данных с диска или мониторинг встреч из Календаря Google.

Для выполнения метода атаки необходимо определенное разрешение GCP на целевых учетных записях служб.

Однако Хантерс заметил, что такое разрешение не является редкостью в организациях, благодаря чему этот метод атаки широко распространен в организациях, которые не поддерживают уровень безопасности своих ресурсов GCP.

«Придерживаясь лучших практик и разумно управляя разрешениями и ресурсами, организации могут значительно минимизировать влияние метода атаки»

Ханашвили продолжил.

Хантерс создал инструмент для проверки концепции (полная информация включена в полное исследование), чтобы помочь организациям обнаружить неправильные конфигурации DWD, повысить осведомленность и снизить риски использования DeleFriend.

Используя этот инструмент, красные команды, пен-тестеры и исследователи безопасности могут моделировать атаки и находить уязвимые пути атак пользователей GCP IAM на существующие делегирования в своих проектах GCP, чтобы оценить (а затем улучшить) риски безопасности и состояние своих рабочих пространств и сред GCP. .

Команда охотников Axon также собрала комплексное исследование в нем подробно описано, как работает уязвимость, а также даны рекомендации по тщательному поиску угроз, методам обнаружения и лучшим практикам противодействия атакам с делегированием в масштабах всего домена.

В августе компания Hunters ответственно сообщила о DeleFriend в Google в рамках программы Google «Охотники за ошибками» и тесно сотрудничает с отделами безопасности и продуктов Google для изучения соответствующих стратегий по смягчению последствий. В настоящее время Google еще не устранил этот недостаток дизайна.

Читать полное исследование здесь и следуйте за Охотниками Команда Аксон в Твиттере .

Об охотниках

Охотники предоставляет платформу Security Operations Center (SOC), которая снижает риск, сложность и затраты для групп безопасности. Альтернатива SIEM, платформа Hunters SOC, обеспечивает прием данных, встроенное и всегда актуальное обнаружение угроз, а также возможности автоматической корреляции и расследования, сводя к минимуму время на понимание и реагирование на реальные угрозы.

Такие организации, как Booking.com, ChargePoint, Yext, Upwork и Cimpress, используют платформу SOC Hunters для расширения возможностей своих команд безопасности. Hunters поддерживают ведущие венчурные капиталисты и стратегические инвесторы, включая Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), венчурный фонд Microsoft M12, Blumberg Capital, Snowflake, Databricks и Okta.