Hunters Team Axon, Google Workspace'i Devralınmaya Karşı Savunmasız Bırakabilecek Tasarım Kusurunu Keşfetti

BOSTON, Massachusetts, 28 Kasım 2023/Cyberwire/--Google Workspace'in alan çapında yetki verme özelliğinde ciddi bir tasarım hatası, tehdit avcılığı uzmanları tarafından keşfedildi Avcılar Takımı Axon , saldırganların mevcut yetkilendirmeleri kötüye kullanmasına olanak tanıyarak ayrıcalık yükseltmeye ve Süper Yönetici ayrıcalıkları olmadan Workspace API'lerine yetkisiz erişime olanak tanıyabilir.

Bu tür bir istismar, Gmail'den e-postaların çalınmasına, Google Drive'dan veri sızdırılmasına veya hedef alandaki tüm kimlikler üzerinde Google Workspace API'leri içindeki diğer yetkisiz işlemlere yol açabilir. Hunters bunu sorumlu bir şekilde Google'a açıkladı ve bu araştırmayı yayınlamadan önce onlarla yakın işbirliği içinde çalıştı.

Alan çapında yetki verme, Google Cloud Platform (GCP) kimlik nesneleri ile Google Workspace uygulamaları arasında kapsamlı bir yetki verilmesine olanak tanır. Başka bir deyişle, GCP kimliklerinin diğer Workspace kullanıcıları adına Gmail, Google Takvim, Google Drive ve daha fazlası gibi Google SaaS uygulamalarındaki görevleri yürütmesine olanak tanır.

Hunters ekibinin "DeleFriend" adını verdiği tasarım kusuru, potansiyel saldırganların, Workspace'te yeni yetki oluşturmak için gerekli olan yüksek ayrıcalıklı Süper Yönetici rolüne sahip olmadan GCP ve Google Workspace'teki mevcut yetkileri değiştirmesine olanak tanıyor.

Bunun yerine, hedef bir GCP projesine daha az ayrıcalıklı erişimle, farklı OAuth kapsamlarından oluşan çok sayıda JSON web belirteci (JWT) oluşturabilirler; böylece hizmet hesabının etki alanına sahip olduğunu gösteren özel anahtar çiftleri ve yetkili OAuth kapsamlarının başarılı kombinasyonlarını belirlemeyi amaçlarlar. geniş delegasyon etkinleştirildi.

Temel neden, etki alanı temsilci yapılandırmasının, hizmet hesabı kimlik nesnesiyle ilişkili belirli özel anahtarlar tarafından değil, hizmet hesabı kaynak tanımlayıcısı (OAuth ID) tarafından belirlenmesinde yatmaktadır.

Ek olarak, API düzeyinde JWT kombinasyonlarının bulanıklaştırılmasına yönelik herhangi bir kısıtlama uygulanmamıştır; bu, mevcut delegasyonların bulunması ve devralınması için çok sayıda seçeneğin numaralandırılması seçeneğini kısıtlamaz.

Bu kusur, yukarıda açıklanan potansiyel etki nedeniyle özel bir risk oluşturur ve aşağıdaki faktörlerle daha da artar:

• Uzun Ömür: Varsayılan olarak, GCP Hizmeti hesap anahtarları son kullanma tarihi olmadan oluşturulur. Bu özellik onları arka kapıların oluşturulması ve uzun süreli kalıcılığın sağlanması için ideal kılar.

• Gizlenmesi kolay: Mevcut IAM'ler için yeni hizmet hesabı anahtarlarının oluşturulmasının veya alternatif olarak API yetkilendirme sayfasında bir yetki verme kuralının ayarlanmasının gizlenmesi kolaydır. Bunun nedeni, bu sayfaların genellikle yeterince ayrıntılı bir şekilde incelenmeyen çok çeşitli meşru girişleri barındırmasıdır.

• Farkındalık: BT ve Güvenlik departmanları, alan çapında yetki verme özelliğinin her zaman farkında olmayabilir. Özellikle kötü niyetli suiistimal potansiyelinin farkında olmayabilirler.

• Tespit edilmesi zor: Yetki verilen API çağrıları hedef kimlik adına oluşturulduğundan, API çağrıları kurban ayrıntılarıyla birlikte ilgili GWS denetim günlüklerine kaydedilecektir. Bu durum bu tür etkinliklerin tanımlanmasını zorlaştırmaktadır.

  
  

“Kötü niyetli aktörlerin etki alanı çapında yetkilendirmeyi kötüye kullanmasının potansiyel sonuçları ciddidir. Bireysel OAuth izninde olduğu gibi yalnızca tek bir kimliği etkilemek yerine, mevcut yetkilendirmeyle DWD'den yararlanmak, Workspace etki alanı içindeki her kimliği etkileyebilir."

diyor Avcı Takımı Axon'dan Yonatan Khanashvili.

Olası eylemlerin aralığı, yetkilendirmenin OAuth kapsamlarına göre değişir. Örneğin, Gmail'den e-posta hırsızlığı, sürücüden veri hırsızlığı veya Google Takvim'den toplantıları izleme.

Saldırı yöntemini yürütmek için hedef Hizmet Hesaplarında belirli bir GCP iznine ihtiyaç vardır.

Ancak Hunters, GCP kaynaklarında bir güvenlik duruşu sağlamayan kuruluşlarda bu saldırı tekniğini oldukça yaygın hale getiren kuruluşlarda bu iznin alışılmadık bir uygulama olmadığını gözlemledi.

"Kuruluşlar, en iyi uygulamalara bağlı kalarak ve izinleri ve kaynakları akıllıca yöneterek, saldırı yönteminin etkisini önemli ölçüde en aza indirebilir"

Hanaşvili şöyle devam etti:

Avcılar yarattı kavram kanıtlama aracı (tüm ayrıntılar araştırmanın tamamında yer almaktadır) kuruluşlara DWD yanlış yapılandırmalarını tespit etme, farkındalığı artırma ve DeleFriend'in kötüye kullanım risklerini azaltma konusunda yardımcı olmak için.

Bu aracı kullanarak kırmızı ekipler, kalem test uzmanları ve güvenlik araştırmacıları, Çalışma Alanlarının ve GCP ortamlarının güvenlik riskini ve duruşunu değerlendirmek (ve ardından iyileştirmek) için saldırıları simüle edebilir ve GCP IAM kullanıcılarının GCP Projelerindeki mevcut delegasyonlara giden savunmasız saldırı yollarını bulabilirler .

Avcılar Takımı Axon da derledi kapsamlı araştırma Bu, güvenlik açığının tam olarak nasıl çalıştığının yanı sıra kapsamlı tehdit avcılığı, tespit teknikleri ve etki alanı çapında yetki verme saldırılarına karşı koymaya yönelik en iyi uygulamalara ilişkin önerileri ortaya koymaktadır.

Avcılar, Ağustos ayında Google'ın “Hata Avcıları” programının bir parçası olarak DeleFriend'i sorumlu bir şekilde Google'a bildirdi ve uygun azaltma stratejilerini araştırmak için Google'ın güvenlik ve ürün ekipleriyle yakın iş birliği yapıyor. Şu anda Google, tasarım kusurunu henüz çözebilmiş değil.

Araştırmanın tamamını okuyun Burada ve Hunters'ı takip edin Axon Takımı Twitter'da .

Avcılar Hakkında

Avcılar güvenlik ekipleri için riski, karmaşıklığı ve maliyeti azaltan bir Güvenlik Operasyon Merkezi (SOC) Platformu sunar. Bir SIEM alternatifi olan Hunters SOC Platformu, veri alımı, yerleşik ve her zaman güncel tehdit tespiti ve otomatik korelasyon ve araştırma yetenekleri sunarak gerçek tehditleri anlama ve bunlara yanıt verme süresini en aza indirir.

Booking.com, ChargePoint, Yext, Upwork ve Cimpress gibi kuruluşlar, güvenlik ekiplerini güçlendirmek için Hunters SOC Platformundan yararlanıyor. Hunters; Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), Microsoft'un girişim fonu M12, Blumberg Capital, Snowflake, Databricks ve Okta gibi önde gelen risk sermayedarları ve stratejik yatırımcılar tarafından desteklenmektedir.

Temas etmek

Yael Macias

[email protected]