Googleは今週、ユーザーをデータ盗難やその他の潜在的なセキュリティ問題の危険にさらすGoogle Workspaceの明らかな設計上の弱点に関するセキュリティベンダーの報告に異議を唱えている。
Hunters Security によると、Google Workspace のドメイン全体の委任機能の欠陥により、攻撃者は Gmail からメールを盗んだり、Google ドライブからデータを盗み出したり、標的のドメイン内のすべての ID に対して Google Workspace API 内でその他の不正なアクションを実行したりできるようになります。
Hunters の研究者は今週、概念実証コードを GitHub で公開し、攻撃者がこの問題を悪用して Google Cloud Platform (GCP) サービスの顧客に対してさまざまな悪意のあるアクションを実行する可能性を実証しました。
しかしGoogleは、ハンターズ氏がこの問題を設計上の欠陥と認定したことを拒否した。同社の広報担当者は「この報告書では当社製品の根本的なセキュリティ問題は特定されていない」と述べた。 「ベスト プラクティスとして、すべてのアカウントに可能な限り最小限の権限を与えることをユーザーに推奨します (ガイダンスを参照) こちら)。そうすることが、この種の攻撃に対抗する鍵となります。」
「デレフレンド」の脅威
ハンターズは、疑惑の欠陥を「デレフレンド」と述べ、通常、新しい委任を作成する場合に必要となるスーパー管理者になる必要がなく、攻撃者が Google Cloud Platform(GCP)と Google Workspace の既存の委任を操作できるようになると説明しました。 Hunters 氏は、この脆弱性により、攻撃者がドメイン全体の委任を持つ Google サービス アカウントを検索して特定し、権限を昇格する方法を得ることができると、調査結果に関する投稿で述べています。
「根本的な原因は、ドメイン委任設定がサービス アカウント ID オブジェクトに関連付けられた特定の秘密キーではなく、サービス アカウント リソース識別子 (OAuth ID) によって決定されるという事実にあります」とセキュリティ ベンダーは指摘しています。さらに、Hunters 氏によると、[JSON Web Token] の組み合わせのファジングに対する制限は API レベルで実装されていません。これにより、攻撃者は、さまざまな OAuth スコープ (または事前定義されたアクセス ルール) を持つ多数の JSON Web トークンを作成し、ドメイン全体の委任が有効になっているサービス アカウントを識別できるようになるとベンダーは指摘しています。
ドメイン全体の委任 は、管理者がアプリケーションまたはサービス アカウントにドメイン内のユーザー データへのアクセスを許可するために使用できる Google Workspace の機能です。目標は、各ユーザーからの明示的な許可を毎回要求することなく、特定のアプリやサービス アカウントがユーザーのデータにアクセスできるようにすることです。たとえば、管理者は、カレンダー アプリケーション プログラミング インターフェイスを使用してユーザーのカレンダーにイベントを追加するアプリケーションに、そのようなアクセスを委任する場合があります。 グーグルによると、、「権限が委任されたサービス アカウントは、Cloud Search へのアクセス権を持つユーザーを含む任意のユーザーになりすますことができます。」
Hunters Security が発見した問題は、基本的に、Google Workspace でドメイン全体の委任(DWD)が有効になっている GCP サービス アカウントを検索して見つける方法を攻撃者に提供します。その後、サービス アカウントを使用して、ドメイン内の各ユーザーに代わってさまざまなアクションを実行できます。これには、秘密裏に権限を昇格すること、永続性を確立すること、データやサービスへの不正アクセスを取得すること、データを変更すること、ユーザーになりすますこと、Google カレンダーでの会議を監視することが含まれる可能性があります。
「DWD が有効になっている侵害された GCP サービス アカウント キーを使用して、ターゲットの Workspace ドメイン内のすべての ID に対して API 呼び出しを実行できる可能性があります」と Hunters 氏は述べています。 「可能なアクションの範囲は、委任の OAuth スコープに応じて異なります。」
概念実証のエクスプロイト
PoCエクスプロイト DeleFriend とも呼ばれるこの攻撃は、研究者らが発見した OAuth 委任攻撃に対するものです。これは、攻撃者が既存の JWT の組み合わせをファジングして、Google Cloud Platform 上の DWD 対応サービス アカウントを自動的に見つけて悪用する方法を示すように設計されています。
攻撃者は PoC コードを使用して、環境内のすべての GCP プロジェクトを列挙し、これらのプロジェクトに関連付けられているすべてのサービス アカウントを特定し、現在認証されているユーザーがアクセスできる可能性のあるアカウントを特定する可能性があります。また、サービス アカウントにアクセスできるユーザーのロール権限をチェックして、ドメイン全体の委任を使用して既存のサービス アカウントの新しい秘密キーをプログラムで生成できる人がいるかどうかを確認します。
次に、PoC では、攻撃者が新しい秘密キーを作成してなりすまし、別のユーザー アカウントにアクセスする方法を示します。
この脆弱性が問題となるのは、デフォルトでは GCP サービス アカウント キーに有効期限がないことです。つまり、攻撃者が作成した新しいキーは長期間保持される可能性が高いことを意味します。新しいサービス アカウント キーや新しい委任ルールの設定は隠蔽するのが簡単になる可能性が高く、そのキーを使用して行われる API 呼び出しも同様に隠蔽されるとハンターズ氏は述べています。
「このツールを使用すると、レッドチーム、侵入テスター、セキュリティ研究者は攻撃をシミュレーションし、GCP IAM ユーザーから GCP プロジェクトの既存の委任への脆弱な攻撃パスを特定できます」と Hunters Security は述べています。その後、Workspace および GCP 環境のセキュリティ リスクと体制を評価し、強化できると同社は述べています。
Hunters Security の研究者は 8 月に DeleFriend の問題について Google に通知し、Google の製品チームおよびセキュリティ チームと協力して脅威を軽減する方法を検討しました。 Hunters氏によると、Googleはまだこの問題を解決していないという。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/vendor-claims-design-flaw-in-google-workspace-is-putting-organizations-at-risk
- :持っている
- :は
- :not
- a
- 能力
- 私たちについて
- 虐待
- アクセス
- データへのアクセス
- 従った
- アカウント
- 行動
- 加えます
- さらに
- 管理人
- に対して
- すべて
- 主張された
- 許す
- ことができます
- また
- 量
- an
- および
- どれか
- 誰も
- API
- API
- 見かけ上
- 申し込み
- アプリ
- です
- AS
- 関連する
- At
- 攻撃
- 攻撃
- 8月
- 認証された
- 権威
- 自動的に
- ベース
- 基本的に
- BE
- 代わって
- BEST
- by
- カレンダー
- コール
- 缶
- 原因となる
- 一定
- 小切手
- クレーム
- クラウド
- クラウドプラットフォーム
- コード
- 闘う
- 組み合わせ
- 会社
- 損害を受けた
- 可能性
- 作ります
- 作成します。
- 作成
- 現在
- Customers
- データ
- 日付
- デフォルト
- 代表団
- 実証します
- 記載された
- 設計
- 設計
- 決定
- 異なります
- 発見
- ありません
- すること
- ドメイン
- ドン
- ドライブ
- ダビングされた
- 各
- 簡単に
- enable
- 使用可能
- 有効にする
- 奨励する
- 環境
- 環境
- エスカレート
- 確立
- エーテル(ETH)
- 評価する
- イベント
- 例
- 実行します
- 既存の
- 満了
- 悪用する
- 探る
- 実際
- 特徴
- もう完成させ、ワークスペースに掲示しましたか?
- 調査結果
- 欠陥
- 新鮮な
- から
- 獲得
- GCP
- 生成する
- GitHubの
- 与える
- Gmailの
- 目標
- でログイン
- Googleクラウド
- Google Cloud Platform
- 助成金
- 持ってる
- 隠す
- 認定条件
- しかしながら
- HTTPS
- IAM
- ID
- 識別子
- 識別する
- アイデンティティ
- アイデンティティ
- if
- 実装
- in
- include
- 含めて
- 情報に基づく
- インタフェース
- 問題
- 問題
- IT
- ITS
- JPG
- JSON
- ジウト
- キー
- キー
- 最低
- レベル
- ある
- 可能性が高い
- 長期的
- 製
- make
- 作る
- 手段
- ミーティング
- かもしれない
- 軽減する
- モニタリング
- 必要
- 新作
- いいえ
- 注意
- 多数の
- オース
- オブジェクト
- of
- on
- or
- 組織
- その他
- 私たちの
- パス
- 実行する
- 許可
- パーミッション
- 持続性
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- PoC
- 可能
- ポスト
- 潜在的な
- :
- 練習
- プライベート
- 秘密鍵
- 秘密鍵
- 特権
- 特権
- プロダクト
- 製品
- プログラミング
- プロジェクト(実績作品)
- 置く
- 静かに
- 範囲
- レッド
- 拒否されました..
- リリース
- レポート
- の提出が必要です
- 研究者
- 解決
- リソースを追加する。
- 制限
- リスク
- 職種
- ルート
- ルール
- ルール
- s
- 前記
- を検索
- セキュリティ
- セキュリティ研究者
- サービス
- サービス
- 設定
- 表示する
- 作品
- So
- 特定の
- そのような
- スーパー
- 確か
- T
- 取る
- ターゲット
- 対象となります
- チーム
- テスター
- それ
- 盗難
- アプリ環境に合わせて
- その後
- ボーマン
- 彼ら
- この
- 今週
- それらの
- 脅威
- 締め付ける
- 時間
- 〜へ
- トークン
- トークン
- ツール
- 試します
- 無許可
- 根本的な
- つかいます
- 中古
- ユーザー
- users
- 使用されます
- 通常
- 多様
- ベンダー
- 脆弱性
- 脆弱な
- 仕方..
- 方法
- we
- 弱点
- ウェブ
- 週間
- which
- 誰
- ワイド
- 意志
- 以内
- 無し
- 働いていました
- まだ
- ゼファーネット