БОСТОН, Массачусетс, 28 ноября 2023 г./Cyberwire/— Серьезный конструктивный недостаток функции делегирования домена Google Workspace, обнаруженный экспертами по поиску угроз из , может позволить злоумышленникам злоупотреблять существующим делегированием, обеспечивая повышение привилегий и несанкционированный доступ к API Workspace без привилегий суперадминистратора. Команда охотников «Аксон» Такая эксплуатация может привести к краже электронных писем из Gmail, утечке данных с Google Диска или другим несанкционированным действиям в API Google Workspace в отношении всех учетных записей в целевом домене. Хантерс ответственно сообщил об этом Google и тесно сотрудничал с ними перед публикацией этого исследования. Делегирование на уровне домена обеспечивает комплексное делегирование между объектами идентификации Google Cloud Platform (GCP) и приложениями Google Workspace. Другими словами, он позволяет удостоверениям GCP выполнять задачи в приложениях Google SaaS, таких как Gmail, Календарь Google, Google Диск и других, от имени других пользователей Workspace. Ошибка дизайна, которую команда Hunters назвала «DeleFriend», позволяет потенциальным злоумышленникам манипулировать существующими делегированиями в GCP и Google Workspace, не обладая привилегированной ролью суперадминистратора в Workspace, которая необходима для создания новых делегирований. Вместо этого, имея менее привилегированный доступ к целевому проекту GCP, они могут создавать многочисленные веб-токены JSON (JWT), состоящие из различных областей OAuth, с целью точно определить успешные комбинации пар закрытых ключей и авторизованных областей OAuth, которые указывают, что учетная запись службы имеет доменное имя. широкое делегирование включено. Основная причина заключается в том, что конфигурация делегирования домена определяется идентификатором ресурса учетной записи службы (идентификатор OAuth), а не конкретными закрытыми ключами, связанными с объектом идентификации учетной записи службы. Кроме того, на уровне API не было реализовано никаких ограничений на фаззинг комбинаций JWT, что не ограничивает возможность перебора многочисленных вариантов поиска и принятия существующих делегаций. Этот недостаток представляет особый риск из-за потенциального воздействия, описанного выше, и усиливается следующим: Длительный срок действия: по умолчанию ключи учетной записи службы GCP создаются без срока действия. Эта особенность делает их идеальными для создания бэкдоров и обеспечения долгосрочной устойчивости. Легко скрыть: создание новых ключей сервисной учетной записи для существующих IAM или, альтернативно, настройку правила делегирования на странице авторизации API легко скрыть. Это связано с тем, что на этих страницах обычно размещается широкий спектр законных записей, которые не проверяются достаточно тщательно. Осведомленность: отделы ИТ и безопасности не всегда могут быть осведомлены о функции делегирования на уровне домена. Они могут особенно не знать о его потенциале злонамеренного злоупотребления. Трудно обнаружить: поскольку делегированные вызовы API создаются от имени целевого идентификатора, вызовы API будут регистрироваться с данными жертвы в соответствующих журналах аудита GWS. Это затрудняет выявление таких видов деятельности. «Потенциальные последствия злоумышленников, злоупотребляющих делегированием по всему домену, серьезны. Вместо того, чтобы затрагивать только один идентификатор, как в случае с индивидуальным согласием OAuth, использование DWD с существующим делегированием может повлиять на каждый идентификатор в домене Workspace». - говорит Йонатан Ханашвили из команды охотников «Аксон». Диапазон возможных действий зависит от области делегирования OAuth. Например, кража электронной почты из Gmail, утечка данных с диска или мониторинг встреч из Календаря Google. Для выполнения метода атаки необходимо определенное разрешение GCP на целевых учетных записях служб. Однако Хантерс заметил, что такое разрешение не является редкостью в организациях, благодаря чему этот метод атаки широко распространен в организациях, которые не поддерживают уровень безопасности своих ресурсов GCP. «Придерживаясь лучших практик и разумно управляя разрешениями и ресурсами, организации могут значительно минимизировать влияние метода атаки» Ханашвили продолжил. Хантерс создал (полная информация включена в полное исследование), чтобы помочь организациям обнаружить неправильные конфигурации DWD, повысить осведомленность и снизить риски использования DeleFriend. инструмент для проверки концепции Используя этот инструмент, красные команды, пен-тестеры и исследователи безопасности могут моделировать атаки и находить уязвимые пути атак пользователей GCP IAM на существующие делегирования в своих проектах GCP, чтобы оценить (а затем улучшить) риски безопасности и состояние своих рабочих пространств и сред GCP. . Команда охотников Axon также собрала в нем подробно описано, как работает уязвимость, а также даны рекомендации по тщательному поиску угроз, методам обнаружения и лучшим практикам противодействия атакам с делегированием в масштабах всего домена. комплексное исследование В августе компания Hunters ответственно сообщила о DeleFriend в Google в рамках программы Google «Охотники за ошибками» и тесно сотрудничает с отделами безопасности и продуктов Google для изучения соответствующих стратегий по смягчению последствий. В настоящее время Google еще не устранил этот недостаток дизайна. Читать полное исследование и следуйте за Охотниками . здесь Команда Аксон в Твиттере Об охотниках предоставляет платформу Security Operations Center (SOC), которая снижает риск, сложность и затраты для групп безопасности. Альтернатива SIEM, платформа Hunters SOC, обеспечивает прием данных, встроенное и всегда актуальное обнаружение угроз, а также возможности автоматической корреляции и расследования, сводя к минимуму время на понимание и реагирование на реальные угрозы. Охотники Такие организации, как Booking.com, ChargePoint, Yext, Upwork и Cimpress, используют платформу SOC Hunters для расширения возможностей своих команд безопасности. Hunters поддерживают ведущие венчурные капиталисты и стратегические инвесторы, включая Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), венчурный фонд Microsoft M12, Blumberg Capital, Snowflake, Databricks и Okta. Контакт Яэль Масиас yael@hunters.security Эта история была распространена компанией Cyberwire в рамках программы бизнес-блогов HackerNoon. Узнать больше о программе . здесь
