Google is disputing a security vendor’s report this week about an apparent design weakness in Google Workspace that puts users at risk of data theft and other potential security issues.
According to Hunters Security, a flaw in Google Workspace’s domain-wide delegation feature gives attackers a way to steal email from Gmail, exfiltrate data from Google Drive, and take other unauthorized actions within Google Workspace APIs on all identities in a targeted domain.
हंटर्स के शोधकर्ताओं ने इस सप्ताह GitHub पर प्रूफ-ऑफ-कॉन्सेप्ट कोड जारी किया ताकि यह प्रदर्शित किया जा सके कि कैसे एक हमलावर संभावित रूप से Google क्लाउड प्लेटफ़ॉर्म (GCP) सेवाओं के ग्राहकों के खिलाफ विभिन्न प्रकार की दुर्भावनापूर्ण कार्रवाइयों को अंजाम देने के लिए समस्या का फायदा उठा सकता है।
Google, however, rejected Hunters’ characterization of the issue as a design flaw. “This report does not identify an underlying security issue in our products,” a company spokesman said. “As a best practice, we encourage users to make sure all accounts have the least amount of privilege possible (see guidance यहाँ उत्पन्न करें). Doing so is key to combating these types of attacks.”
“DeleFriend” Threat
Hunters has dubbed the alleged flaw as “डेलेफ्रेंड” and described it as enabling an attacker to manipulate existing delegations in Google Cloud Platform (GCP) and Google Workspace without needing to be a Super Admin — as is usually required for creating new delegations. The flaw gives attackers a way to search for and identify Google service accounts with domain-wide delegations, and then escalate privileges, Hunters said in its post on its findings.
“The root cause lies in the fact that the domain delegation configuration is determined by the service account resource identifier (OAuth ID), and not the specific private keys associated with the service account identity object,” the security vendor noted. Additionally, no restrictions for fuzzing of [JSON Web Token] combinations are implemented at the API level, according to Hunters. This allows attackers to create numerous JSON Web Tokens with different OAuth scopes — or predefined access rules — to try and identify service accounts that have domain-wide delegation enabled, the vendor noted.
डोमेन विस्तृत प्रतिनिधिमंडल is a Google Workspace feature that an administrator can use to grant an application or service account access to user data in a domain. The goal is to allow certain apps and service accounts the ability to access a user’s data without requiring explicit permission from each user each time. For example, an administrator might delegate such access to an application that uses the Calendar application programming interface to add events to a user’s calendar. गूगल के अनुसार, “a service account with delegated authority can impersonate any user, including users with access to Cloud Search.”
हंटर्स सिक्योरिटी ने जो मुद्दा खोजा है वह मूल रूप से एक हमलावर को Google वर्कस्पेस पर सक्षम डोमेन-वाइड डेलिगेशन (डीडब्ल्यूडी) के साथ जीसीपी सेवा खातों को खोजने और खोजने का एक तरीका देता है। फिर वे डोमेन में प्रत्येक उपयोगकर्ता की ओर से विभिन्न प्रकार की कार्रवाइयां करने के लिए सेवा खातों का उपयोग कर सकते हैं। इसमें चुपचाप विशेषाधिकारों को बढ़ाना, दृढ़ता स्थापित करना, डेटा और सेवाओं तक अनधिकृत पहुंच प्राप्त करना, डेटा को संशोधित करना, उपयोगकर्ताओं का प्रतिरूपण करना और Google कैलेंडर में बैठकों की निगरानी करना शामिल हो सकता है।
“A compromised GCP service account key with DWD enabled can be used to perform API calls on all of the identities in the target Workspace domain,” Hunters said. “The range of possible actions varies based on the OAuth scopes of the delegation.”
संकल्पना शोषण का सबूत
RSI PoC शोषण — also dubbed DeleFriend — is for the OAuth delegation attack the researchers discovered. It’s designed to show how an attacker can fuzz existing JWT combinations to automatically find and abuse DWD-enabled service accounts on Google Cloud Platform.
एक हमलावर किसी परिवेश में सभी GCP परियोजनाओं की गणना करने, इन परियोजनाओं से जुड़े सभी सेवा खातों की पहचान करने और उन खातों की पहचान करने के लिए PoC कोड का उपयोग कर सकता है जिन तक वर्तमान में प्रमाणित उपयोगकर्ता की पहुंच हो सकती है। यह उन लोगों की भूमिका अनुमतियों की भी जांच करता है जिनके पास सेवा खाते तक पहुंच है, यह देखने के लिए कि क्या किसी के पास डोमेन वाइड डेलिगेशन के साथ मौजूदा सेवा खाते के लिए प्रोग्रामेटिक रूप से नई निजी कुंजी उत्पन्न करने की क्षमता हो सकती है।
इसके बाद पीओसी दिखाता है कि कैसे एक हमलावर विभिन्न उपयोगकर्ता खातों का प्रतिरूपण करने और उन तक पहुंचने के लिए एक नई निजी कुंजी बना सकता है।
What makes the vulnerability problematic is that GCP service account keys by default don’t have an expiry date — which means any fresh keys that an attacker creates will likely enable long-term persistence. Any new service account keys or setting of a new delegation rule will likely be easy to hide and so will any API calls made using the keys, Hunters said.
“Using this tool, red teams, pen testers, and security researchers can simulate attacks and locate vulnerable attack paths of GCP IAM users to existing delegations in their GCP Projects,” Hunters Security said. They can then evaluate and tighten the security risk and posture of their Workspace and GCP environments, the company noted.
Hunters Security researchers informed Google about the DeleFriend issue in August and worked with Google’s product and security teams to explore ways to potentially mitigate the threat. According to Hunters, Google has not yet resolved the issue.
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud-security/vendor-claims-design-flaw-in-google-workspace-is-putting-organizations-at-risk
- :हैस
- :है
- :नहीं
- a
- क्षमता
- About
- गाली
- पहुँच
- डेटा तक पहुंच
- अनुसार
- लेखा
- अकौन्टस(लेखा)
- कार्रवाई
- जोड़ना
- इसके अतिरिक्त
- व्यवस्थापक
- के खिलाफ
- सब
- ने आरोप लगाया
- अनुमति देना
- की अनुमति देता है
- भी
- राशि
- an
- और
- कोई
- किसी
- एपीआई
- एपीआई
- स्पष्ट
- आवेदन
- क्षुधा
- हैं
- AS
- जुड़े
- At
- आक्रमण
- आक्रमण
- अगस्त
- प्रमाणीकृत
- अधिकार
- स्वतः
- आधारित
- मूल रूप से
- BE
- पक्ष
- BEST
- by
- कैलेंडर
- कॉल
- कर सकते हैं
- कारण
- कुछ
- जाँचता
- दावा
- बादल
- क्लाउड प्लेटफॉर्म
- कोड
- मुकाबला
- संयोजन
- कंपनी
- छेड़छाड़ की गई
- विन्यास
- सका
- बनाना
- बनाता है
- बनाना
- वर्तमान में
- ग्राहक
- तिथि
- तारीख
- चूक
- शिष्ठ मंडल
- दिखाना
- वर्णित
- डिज़ाइन
- बनाया गया
- निर्धारित
- विभिन्न
- की खोज
- कर देता है
- कर
- डोमेन
- डॉन
- ड्राइव
- करार दिया
- से प्रत्येक
- आसान
- ईमेल
- सक्षम
- सक्षम
- समर्थकारी
- प्रोत्साहित करना
- वातावरण
- वातावरण
- ख़राब करना
- स्थापना
- ईथर (ईटीएच)
- मूल्यांकन करें
- घटनाओं
- उदाहरण
- निष्पादित
- मौजूदा
- समाप्ति
- शोषण करना
- का पता लगाने
- तथ्य
- Feature
- खोज
- निष्कर्ष
- दोष
- के लिए
- ताजा
- से
- पाने
- जीसीपी
- उत्पन्न
- GitHub
- देता है
- जीमेल
- लक्ष्य
- गूगल
- Google मेघ
- Google Cloud Platform
- अनुदान
- है
- छिपाना
- कैसे
- तथापि
- HTTPS
- आई ए एम
- ID
- पहचानकर्ता
- पहचान करना
- पहचान
- पहचान
- if
- कार्यान्वित
- in
- शामिल
- सहित
- सूचित
- इंटरफेस
- मुद्दा
- मुद्दों
- IT
- आईटी इस
- जेपीजी
- JSON
- जेडब्ल्यूटी
- कुंजी
- Instagram पर
- कम से कम
- स्तर
- झूठ
- संभावित
- लंबे समय तक
- बनाया गया
- बनाना
- बनाता है
- साधन
- बैठकों
- हो सकता है
- कम करना
- निगरानी
- ज़रूरत
- नया
- नहीं
- विख्यात
- अनेक
- OAuth
- वस्तु
- of
- on
- or
- संगठनों
- अन्य
- हमारी
- पथ
- निष्पादन
- अनुमति
- अनुमतियाँ
- हठ
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- PoC
- संभव
- पद
- संभावित
- संभावित
- अभ्यास
- निजी
- निजी कुंजी
- निजी कुंजी
- विशेषाधिकार
- विशेषाधिकारों
- एस्ट्रो मॉल
- उत्पाद
- प्रोग्रामिंग
- परियोजनाओं
- डालता है
- चुपचाप
- रेंज
- लाल
- अस्वीकृत..
- रिहा
- रिपोर्ट
- अपेक्षित
- शोधकर्ताओं
- संकल्प
- संसाधन
- प्रतिबंध
- जोखिम
- भूमिका
- जड़
- नियम
- नियम
- s
- कहा
- Search
- सुरक्षा
- सुरक्षा शोधकर्ताओं
- देखना
- सेवा
- सेवाएँ
- की स्थापना
- दिखाना
- दिखाता है
- So
- विशिष्ट
- ऐसा
- सुपर
- निश्चित
- T
- लेना
- लक्ष्य
- लक्षित
- टीमों
- परीक्षकों
- कि
- RSI
- चोरी
- लेकिन हाल ही
- फिर
- इन
- वे
- इसका
- इस सप्ताह
- उन
- धमकी
- कस
- पहर
- सेवा मेरे
- टोकन
- टोकन
- साधन
- कोशिश
- प्रकार
- अनधिकृत
- आधारभूत
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- उपयोगकर्ताओं
- का उपयोग करता है
- का उपयोग
- आमतौर पर
- विविधता
- विक्रेता
- भेद्यता
- चपेट में
- मार्ग..
- तरीके
- we
- दुर्बलता
- वेब
- सप्ताह
- कौन कौन से
- कौन
- चौड़ा
- मर्जी
- साथ में
- अंदर
- बिना
- काम किया
- अभी तक
- जेफिरनेट