415 讀數

Hunters Team Axon 发现设计缺陷，可能导致 Google Workspace 容易被接管

经过 CyberNewswire4m2023/11/28

太長; 讀書

网络安全公司猎人表示，域范围授权中的设计缺陷可能会使 Google Workspace 容易被接管。 Hunters 团队将这一设计缺陷称为“DeleFriend”，它允许潜在的攻击者操纵现有的委托。

featured image - Hunters Team Axon 发现设计缺陷，可能导致 Google Workspace 容易被接管

马萨诸塞州波士顿，2023 年 11 月 28 日/Cyberwire/——威胁追踪专家发现 Google Workspace 的全域委托功能存在严重设计缺陷猎人队轴突，可能允许攻击者滥用现有委托，从而实现权限升级以及在没有超级管理员权限的情况下对 Workspace API 进行未经授权的访问。

此类利用可能会导致 Gmail 电子邮件被盗、Google 云端硬盘数据被泄露，或者 Google Workspace API 中对目标网域中的所有身份执行其他未经授权的操作。亨特斯负责任地向谷歌披露了这一点，并在发表这项研究之前与他们密切合作。

域范围的委派允许在 Google Cloud Platform (GCP) 身份对象和 Google Workspace 应用程序之间进行全面委派。换句话说，它使 GCP 身份能够代表其他 Workspace 用户在 Google SaaS 应用程序（例如 Gmail、Google 日历、Google Drive 等）上执行任务。

Hunters 团队将这一设计缺陷称为“DeleFriend”，它允许潜在攻击者操纵 GCP 和 Google Workspace 中的现有委托，而无需拥有 Workspace 上的高权限超级管理员角色，而这对于创建新委托至关重要。

相反，通过对目标 GCP 项目的访问权限较低，他们可以创建由不同 OAuth 范围组成的大量 JSON Web 令牌 (JWT)，旨在查明私钥对和授权 OAuth 范围的成功组合，这表明服务帐户具有域 -启用广泛授权。

根本原因在于域委托配置是由服务帐户资源标识符（OAuth ID）决定的，而不是与服务帐户身份对象关联的特定私钥。

此外，在 API 级别上没有对 JWT 组合的模糊测试进行任何限制，这不会限制枚举用于查找和接管现有委托的众多选项的选项。

由于上述潜在影响，此缺陷会带来特殊风险，并会因以下因素而放大：

使用寿命长：默认情况下，创建的 GCP 服务帐户密钥没有到期日期。此功能使它们成为建立后门并确保长期持久性的理想选择。
易于隐藏：为现有 IAM 创建新的服务帐户密钥，或者在 API 授权页面中设置委派规则，很容易隐藏。这是因为这些页面通常包含大量合法条目，但这些条目没有得到足够彻底的检查。
意识：IT 和安全部门可能并不总是了解域范围的委派功能。他们可能尤其没有意识到它被恶意滥用的可能性。
难以检测：由于委托 API 调用是代表目标身份创建的，因此 API 调用将与受害者详细信息一起记录在相应的 GWS 审核日志中。这使得识别此类活动变得具有挑战性。

“恶意行为者滥用全域授权的潜在后果是严重的。与个人 OAuth 同意一样，利用 DWD 和现有委托可以影响工作区域内的每个身份，而不是仅影响单个身份。”

猎人队 Axon 队的尤纳坦·卡纳什维利 (Yonatan Khanashvili) 说道。

可能的操作范围根据委托的 OAuth 范围而有所不同。例如，Gmail 中的电子邮件被盗、驱动器中的数据泄露或 Google 日历中的监控会议。

为了执行攻击方法，目标服务帐户需要特定的 GCP 权限。

然而，Hunters 观察到，这种许可在组织中并不罕见，这使得这种攻击技术在不维护 GCP 资源安全状况的组织中非常普遍。

“通过遵循最佳实践并巧妙地管理权限和资源，组织可以极大地减少攻击方法的影响”

卡纳什维利继续说道。

猎人创造了一个概念验证工具（完整的详细信息包含在完整的研究中）帮助组织检测 DWD 错误配置、提高认识并降低 DeleFriend 的利用风险。

使用此工具，红队、渗透测试人员和安全研究人员可以模拟攻击并定位 GCP IAM 用户对其 GCP 项目中现有委托的易受攻击路径，以评估（然后改进）其工作区和 GCP 环境的安全风险和状况。

猎人队 Axon 也整理了综合研究其中详细说明了该漏洞的工作原理以及彻底的威胁搜寻、检测技术和应对全域委托攻击的最佳实践的建议。

作为 8 月份 Google 的“Bug Hunters”计划的一部分，Hunters 负责任地向 Google 报告了 DeleFriend，并正在与 Google 的安全和产品团队密切合作，探索适当的缓解策略。目前，谷歌尚未解决该设计缺陷。

阅读完整的研究这里，并跟随猎人的Twitter 上的 Axon 团队。

关于猎人

猎人提供安全运营中心 (SOC) 平台，可降低安全团队的风险、复杂性和成本。作为 SIEM 替代方案，Hunters SOC 平台提供数据摄取、内置且始终最新的威胁检测以及自动关联和调查功能，从而最大限度地缩短了解和响应真实威胁的时间。

Booking.com、ChargePoint、Yext、Upwork 和 Cimpress 等组织利用 Hunters SOC 平台为其安全团队提供支持。 Hunters 得到了领先风险投资公司和战略投资者的支持，包括 Stripes、YL Ventures、DTCP、Cisco Investments、Bessemer Venture Partners、US Venture Partners (USVP)、微软风险基金 M12、Blumberg Capital、Snowflake、Databricks 和 Okta。