Nhóm Hunters Axon phát hiện ra lỗ hổng thiết kế có thể khiến Google Workspace dễ bị tiếp quản

BOSTON, Massachusetts, ngày 28 tháng 11 năm 2023/Cyberwire/--Một lỗ hổng thiết kế nghiêm trọng trong tính năng ủy quyền trên toàn miền của Google Workspace được phát hiện bởi các chuyên gia săn lùng mối đe dọa từ Đội thợ săn Axon , có thể cho phép kẻ tấn công lạm dụng các ủy quyền hiện có, tạo điều kiện cho việc leo thang đặc quyền và truy cập trái phép vào API Workspace mà không có đặc quyền của Quản trị viên cấp cao.

Việc khai thác như vậy có thể dẫn đến việc đánh cắp email từ Gmail, đánh cắp dữ liệu khỏi Google Drive hoặc thực hiện các hành động trái phép khác trong API Google Workspace đối với tất cả danh tính trong miền mục tiêu. Hunters đã tiết lộ điều này một cách có trách nhiệm với Google và hợp tác chặt chẽ với họ trước khi xuất bản nghiên cứu này.

Việc ủy quyền trên toàn miền cho phép ủy quyền toàn diện giữa các đối tượng nhận dạng Google Cloud Platform (GCP) và các ứng dụng Google Workspace. Nói cách khác, nó cho phép danh tính GCP thực thi các tác vụ trên các ứng dụng Google SaaS, chẳng hạn như Gmail, Lịch Google, Google Drive, v.v., thay mặt cho những người dùng Workspace khác.

Lỗ hổng thiết kế mà nhóm Hunters đặt tên là “DeleFriend”, cho phép những kẻ tấn công tiềm năng thao túng các ủy quyền hiện có trong GCP và Google Workspace mà không cần có vai trò Quản trị viên cấp cao đặc quyền cao trên Workspace, điều này rất cần thiết để tạo các ủy quyền mới.

Thay vào đó, với quyền truy cập ít đặc quyền hơn vào dự án GCP mục tiêu, họ có thể tạo nhiều mã thông báo web JSON (JWT) bao gồm các phạm vi OAuth khác nhau, nhằm xác định sự kết hợp thành công của các cặp khóa riêng tư và phạm vi OAuth được ủy quyền cho biết rằng tài khoản dịch vụ có miền- đã bật ủy quyền rộng rãi.

Nguyên nhân sâu xa nằm ở chỗ cấu hình ủy quyền miền được xác định bởi mã định danh tài nguyên tài khoản dịch vụ (OAuth ID) chứ không phải các khóa riêng tư cụ thể được liên kết với đối tượng nhận dạng tài khoản dịch vụ.

Ngoài ra, không có hạn chế nào đối với việc làm mờ các kết hợp JWT được triển khai ở cấp độ API, điều này không hạn chế tùy chọn liệt kê nhiều tùy chọn để tìm và tiếp quản các ủy quyền hiện có.

Lỗ hổng này gây ra rủi ro đặc biệt do tác động tiềm ẩn được mô tả ở trên và được khuếch đại bởi những điều sau:

• Tuổi thọ cao: Theo mặc định, khóa tài khoản Dịch vụ GCP được tạo mà không có ngày hết hạn. Tính năng này khiến chúng trở nên lý tưởng cho việc thiết lập các cửa hậu và đảm bảo sự tồn tại lâu dài.

• Dễ dàng ẩn: Việc tạo khóa tài khoản dịch vụ mới cho các IAM hiện có hoặc cách khác là cài đặt quy tắc ủy quyền trong trang ủy quyền API rất dễ bị che giấu. Điều này là do các trang này thường lưu trữ nhiều mục nhập hợp pháp nhưng không được kiểm tra kỹ lưỡng.

• Nhận thức: Bộ phận CNTT và Bảo mật có thể không phải lúc nào cũng nhận thức được tính năng ủy quyền trên toàn miền. Đặc biệt, họ có thể không nhận thức được khả năng lạm dụng có ác ý của nó.

• Khó phát hiện: Vì các lệnh gọi API được ủy quyền được tạo thay mặt cho danh tính mục tiêu nên các lệnh gọi API sẽ được ghi lại cùng với thông tin chi tiết về nạn nhân trong nhật ký kiểm tra GWS tương ứng. Điều này gây khó khăn cho việc xác định các hoạt động như vậy.

  
  

“Hậu quả tiềm tàng của việc những kẻ độc hại lạm dụng việc ủy quyền trên toàn miền là rất nghiêm trọng. Thay vì chỉ ảnh hưởng đến một danh tính duy nhất, như với sự đồng ý OAuth riêng lẻ, việc khai thác DWD với sự ủy quyền hiện có có thể tác động đến mọi danh tính trong miền Workspace,”

Yonatan Khanashvili của Đội thợ săn Axon nói.

Phạm vi hành động có thể thực hiện sẽ khác nhau tùy theo phạm vi OAuth của ủy quyền. Ví dụ: đánh cắp email từ Gmail, đánh cắp dữ liệu từ ổ đĩa hoặc giám sát các cuộc họp từ Lịch Google.

Để thực thi phương thức tấn công, cần có quyền GCP cụ thể trên Tài khoản dịch vụ mục tiêu.

Tuy nhiên, Hunters nhận thấy rằng sự cho phép như vậy không phải là một hành vi hiếm gặp ở các tổ chức khiến kỹ thuật tấn công này trở nên phổ biến ở những tổ chức không duy trì tình trạng bảo mật trong tài nguyên GCP của họ.

“Bằng cách tuân thủ các phương pháp hay nhất cũng như quản lý quyền và tài nguyên một cách thông minh, các tổ chức có thể giảm thiểu đáng kể tác động của phương thức tấn công”

Khanashvili tiếp tục.

Thợ săn đã tạo ra một công cụ chứng minh khái niệm (chi tiết đầy đủ được đưa vào nghiên cứu đầy đủ) để hỗ trợ các tổ chức phát hiện cấu hình sai của DWD, nâng cao nhận thức và giảm rủi ro khai thác của DeleFriend.

Bằng cách sử dụng công cụ này, các đội đỏ, người kiểm tra bút và nhà nghiên cứu bảo mật có thể mô phỏng các cuộc tấn công và xác định đường dẫn tấn công dễ bị tấn công của người dùng GCP IAM tới những người được ủy quyền hiện có trong Dự án GCP của họ để đánh giá (và sau đó cải thiện) rủi ro bảo mật cũng như trạng thái của môi trường Workspace và GCP của họ .

Đội thợ săn Axon cũng đã biên soạn nghiên cứu toàn diện trong đó trình bày chính xác cách thức hoạt động của lỗ hổng cũng như các đề xuất để săn lùng mối đe dọa kỹ lưỡng, kỹ thuật phát hiện và các phương pháp hay nhất để chống lại các cuộc tấn công ủy quyền trên toàn miền.

Hunters đã báo cáo DeleFriend cho Google một cách có trách nhiệm như một phần của chương trình “Thợ săn lỗi” của Google vào tháng 8 và đang cộng tác chặt chẽ với các nhóm sản phẩm và bảo mật của Google để khám phá các chiến lược giảm thiểu thích hợp. Hiện tại, Google vẫn chưa giải quyết được lỗi thiết kế.

Đọc toàn bộ nghiên cứu đây , và theo dõi Thợ săn Đội Axon trên Twitter .

Về thợ săn

Thợ săn cung cấp Nền tảng Trung tâm điều hành bảo mật (SOC) giúp giảm rủi ro, độ phức tạp và chi phí cho các nhóm bảo mật. Một giải pháp thay thế SIEM, Nền tảng Hunters SOC cung cấp khả năng nhập dữ liệu, phát hiện mối đe dọa tích hợp và luôn cập nhật cũng như khả năng điều tra và tương quan tự động, giảm thiểu thời gian để hiểu và ứng phó với các mối đe dọa thực sự.

Các tổ chức như Booking.com, ChargePoint, Yext, Upwork và Cimpress tận dụng Nền tảng Hunters SOC để trao quyền cho nhóm bảo mật của họ. Hunters được hỗ trợ bởi các quỹ đầu tư mạo hiểm và nhà đầu tư chiến lược hàng đầu bao gồm Stripes, YL Ventures, DTCP, Cisco Investments, Bessemer Venture Partners, US Venture Partners (USVP), quỹ đầu tư mạo hiểm M12 của Microsoft, Blumberg Capital, Snowflake, Databricks và Okta.

Liên hệ

Yael Macias

[email protected]