Google conteste cette semaine le rapport d'un fournisseur de sécurité concernant une apparente faiblesse de conception dans Google Workspace qui expose les utilisateurs à un risque de vol de données et d'autres problèmes de sécurité potentiels.
Selon Hunters Security, une faille dans la fonctionnalité de délégation à l'échelle du domaine de Google Workspace donne aux attaquants un moyen de voler les e-mails de Gmail, d'exfiltrer les données de Google Drive et d'effectuer d'autres actions non autorisées au sein des API de Google Workspace sur toutes les identités d'un domaine ciblé.
Les chercheurs de Hunters ont publié cette semaine un code de validation de principe sur GitHub pour démontrer comment un attaquant pourrait potentiellement exploiter le problème pour exécuter diverses actions malveillantes contre les clients des services Google Cloud Platform (GCP).
Google, cependant, a rejeté la caractérisation du problème par Hunters comme un défaut de conception. "Ce rapport n'identifie pas de problème de sécurité sous-jacent dans nos produits", a déclaré un porte-parole de l'entreprise. « En tant que bonne pratique, nous encourageons les utilisateurs à s'assurer que tous les comptes disposent du moins de privilèges possible (voir les conseils ici). C’est la clé pour lutter contre ce type d’attaques.
Menace « DeleFriend »
Hunters a qualifié le défaut présumé de «SupprimerAmi» et l'a décrit comme permettant à un attaquant de manipuler les délégations existantes dans Google Cloud Platform (GCP) et Google Workspace sans avoir besoin d'être un super administrateur – comme cela est généralement requis pour créer de nouvelles délégations. La faille donne aux attaquants un moyen de rechercher et d'identifier les comptes de service Google avec des délégations à l'échelle du domaine, puis d'élever les privilèges, a déclaré Hunters dans son article sur ses conclusions.
"La cause première réside dans le fait que la configuration de la délégation de domaine est déterminée par l'identifiant de ressource du compte de service (OAuth ID), et non par les clés privées spécifiques associées à l'objet d'identité du compte de service", a noté le fournisseur de sécurité. De plus, selon Hunters, aucune restriction concernant le fuzzing des combinaisons [JSON Web Token] n'est implémentée au niveau de l'API. Cela permet aux attaquants de créer de nombreux jetons Web JSON avec différentes portées OAuth – ou règles d'accès prédéfinies – pour essayer d'identifier les comptes de service pour lesquels la délégation à l'échelle du domaine est activée, a noté le fournisseur.
Délégation à l'échelle du domaine est une fonctionnalité Google Workspace qu'un administrateur peut utiliser pour accorder à une application ou à un compte de service l'accès aux données utilisateur d'un domaine. L'objectif est de permettre à certaines applications et comptes de service d'accéder aux données d'un utilisateur sans nécessiter à chaque fois l'autorisation explicite de chaque utilisateur. Par exemple, un administrateur peut déléguer cet accès à une application qui utilise l'interface de programmation d'application Calendrier pour ajouter des événements au calendrier d'un utilisateur. Selon Google, "un compte de service doté d'une autorité déléguée peut usurper l'identité de n'importe quel utilisateur, y compris les utilisateurs ayant accès à Cloud Search."
Le problème découvert par Hunters Security donne essentiellement à un attaquant un moyen de rechercher et de trouver des comptes de service GCP avec la délégation à l'échelle du domaine (DWD) activée sur Google Workspace. Ils peuvent ensuite utiliser les comptes de service pour effectuer diverses actions au nom de chaque utilisateur du domaine. Cela peut inclure une élévation discrète des privilèges, l'établissement de la persistance, l'obtention d'un accès non autorisé aux données et aux services, la modification des données, l'usurpation d'identité d'utilisateur et la surveillance des réunions dans Google Agenda.
"Une clé de compte de service GCP compromise avec DWD activé peut être utilisée pour effectuer des appels d'API sur toutes les identités du domaine Workspace cible", a déclaré Hunters. « La gamme d'actions possibles varie en fonction des étendues OAuth de la délégation. »
Exploit de preuve de concept
Le Exploitation de PoC – également surnommé DeleFriend – est destiné à l'attaque de la délégation OAuth découverte par les chercheurs. Il est conçu pour montrer comment un attaquant peut modifier les combinaisons JWT existantes pour rechercher et abuser automatiquement des comptes de service compatibles DWD sur Google Cloud Platform.
Un attaquant pourrait utiliser le code PoC pour énumérer tous les projets GCP dans un environnement, identifier tous les comptes de service associés à ces projets et identifier les comptes auxquels un utilisateur actuellement authentifié pourrait avoir accès. Il vérifie également les autorisations de rôle de ceux qui ont accès au compte de service pour voir si quelqu'un pourrait avoir la possibilité de générer par programme de nouvelles clés privées pour un compte de service existant avec une délégation à l'échelle du domaine.
Le PoC montre ensuite comment un attaquant pourrait créer une nouvelle clé privée pour usurper l'identité et accéder à différents comptes d'utilisateurs.
Ce qui rend la vulnérabilité problématique, c'est que les clés de compte de service GCP n'ont pas de date d'expiration par défaut, ce qui signifie que toute nouvelle clé créée par un attaquant permettra probablement une persistance à long terme. Toute nouvelle clé de compte de service ou définition d'une nouvelle règle de délégation sera probablement facile à masquer, tout comme tous les appels d'API effectués à l'aide des clés, a déclaré Hunters.
"Grâce à cet outil, les équipes rouges, les testeurs d'intrusion et les chercheurs en sécurité peuvent simuler des attaques et localiser les chemins d'attaque vulnérables des utilisateurs de GCP IAM vers les délégations existantes dans leurs projets GCP", a déclaré Hunters Security. Ils peuvent ensuite évaluer et renforcer les risques de sécurité et la posture de leurs environnements Workspace et GCP, a noté l'entreprise.
Les chercheurs de Hunters Security ont informé Google du problème DeleFriend en août et ont travaillé avec les équipes produit et de sécurité de Google pour explorer les moyens d'atténuer potentiellement la menace. Selon Hunters, Google n'a pas encore résolu le problème.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cloud-security/vendor-claims-design-flaw-in-google-workspace-is-putting-organizations-at-risk
- :possède
- :est
- :ne pas
- a
- capacité
- A Propos
- abus
- accès
- Accès aux données
- Selon
- Compte
- hybrides
- actes
- ajouter
- En outre
- admin
- à opposer à
- Tous
- allégué
- permettre
- permet
- aussi
- montant
- an
- et les
- tous
- chacun.e
- api
- Apis
- apparent
- Application
- applications
- SONT
- AS
- associé
- At
- attaquer
- Attaques
- Août
- authentifié
- autorité
- automatiquement
- basé
- En gros
- BE
- nom
- LES MEILLEURS
- by
- Calendrier
- Appels
- CAN
- Causes
- certaines
- Contrôles
- réclamer
- le cloud
- cloud Platform
- code
- combattre
- комбинации
- Société
- Compromise
- configuration
- pourriez
- engendrent
- crée des
- La création
- Lecture
- Clients
- données
- Date
- Réglage par défaut
- délégation
- démontrer
- décrit
- Conception
- un
- déterminé
- différent
- découvert
- faire
- domaine
- Don
- motivation
- doublé
- chacun
- Easy
- permettre
- activé
- permettant
- encourager
- Environment
- environnements
- intensifier
- établissement
- Ether (ETH)
- évaluer
- événements
- exemple
- exécuter
- existant
- expiration
- Exploiter
- explorez
- fait
- Fonctionnalité
- Trouvez
- résultats
- défaut
- Pour
- fraiche entreprise
- De
- gagner
- GCP
- générer
- GitHub
- donne
- gmail
- objectif
- Google Cloud
- Google Cloud Platform
- subvention
- Vous avez
- Cacher
- Comment
- Cependant
- HTTPS
- IAM
- ID
- identifiant
- identifier
- identités
- Identite
- if
- mis en œuvre
- in
- comprendre
- Y compris
- Actualités
- Interfaces
- aide
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- SES
- jpg
- json
- Jwt
- ACTIVITES
- clés
- au
- Niveau
- se trouve
- Probable
- long-term
- LES PLANTES
- a prendre une
- FAIT DU
- veux dire
- réunions
- pourrait
- Réduire les
- Stack monitoring
- besoin
- Nouveauté
- aucune
- noté
- nombreux
- oauth
- objet
- of
- on
- or
- organisations
- Autre
- nos
- chemins
- effectuer
- autorisation
- autorisations
- persistance
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- PoC
- possible
- Post
- défaillances
- l'éventualité
- pratique
- Privé
- Clé privée
- Clés privées
- privilège
- privilèges
- Produit
- Produits
- Programmation
- projets
- Puts
- tranquillement
- gamme
- Rouge
- Rejeté..
- libéré
- rapport
- conditions
- chercheurs
- résolu
- ressource
- restrictions
- Analyse
- Rôle
- racine
- Règle
- s
- Saïd
- Rechercher
- sécurité
- chercheurs en sécurité
- sur le lien
- service
- Services
- mise
- montrer
- Spectacles
- So
- groupe de neurones
- tel
- Super
- sûr
- T
- Prenez
- Target
- des campagnes marketing ciblées,
- équipes
- testeurs
- qui
- Le
- vol
- leur
- puis
- Ces
- l'ont
- this
- cette semaine
- ceux
- menace
- serrer
- fiable
- à
- jeton
- Tokens
- outil
- Essai
- types
- non autorisé
- sous-jacent
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- Usages
- en utilisant
- d'habitude
- variété
- vendeur
- vulnérabilité
- Vulnérable
- Façon..
- façons
- we
- faiblesse
- web
- semaine
- qui
- WHO
- large
- sera
- comprenant
- dans les
- sans
- travaillé
- encore
- zéphyrnet