Google betwist het rapport van een beveiligingsleverancier deze week over een duidelijke ontwerpzwakte in Google Workspace waardoor gebruikers het risico lopen op gegevensdiefstal en andere potentiële beveiligingsproblemen.
Volgens Hunters Security geeft een fout in de domeinbrede delegatiefunctie van Google Workspace aanvallers een manier om e-mail uit Gmail te stelen, gegevens uit Google Drive te exfiltreren en andere ongeautoriseerde acties uit te voeren binnen Google Workspace API's op alle identiteiten in een gericht domein.
Onderzoekers van Hunters hebben deze week proof-of-concept-code op GitHub vrijgegeven om te demonstreren hoe een aanvaller het probleem mogelijk zou kunnen misbruiken om verschillende kwaadaardige acties uit te voeren tegen klanten van Google Cloud Platform (GCP)-services.
Google verwierp echter Hunters' karakterisering van het probleem als een ontwerpfout. “Dit rapport identificeert geen onderliggend beveiligingsprobleem in onze producten”, aldus een woordvoerder van het bedrijf. “Als best practice moedigen we gebruikers aan om ervoor te zorgen dat alle accounts zo min mogelijk rechten hebben (zie richtlijnen hier). Dit is de sleutel tot het bestrijden van dit soort aanvallen.”
“DeleFriend”-bedreiging
Hunters heeft de vermeende fout omschreven als “DeelVriend' en beschreef het als een mogelijkheid voor een aanvaller om bestaande delegaties in Google Cloud Platform (GCP) en Google Workspace te manipuleren zonder dat hij een superbeheerder hoeft te zijn, zoals meestal vereist is voor het maken van nieuwe delegaties. De fout geeft aanvallers een manier om Google-serviceaccounts met domeinbrede delegaties te zoeken en te identificeren, en vervolgens de rechten te escaleren, aldus Hunters in een bericht over de bevindingen.
“De hoofdoorzaak ligt in het feit dat de domeindelegatieconfiguratie wordt bepaald door de serviceaccountresource-ID (OAuth ID), en niet door de specifieke privésleutels die zijn gekoppeld aan het serviceaccountidentiteitsobject”, merkte de beveiligingsleverancier op. Bovendien zijn er volgens Hunters geen beperkingen voor het fuzzen van [JSON Web Token]-combinaties geïmplementeerd op API-niveau. Hierdoor kunnen aanvallers talloze JSON-webtokens maken met verschillende OAuth-scopes (of vooraf gedefinieerde toegangsregels) om te proberen serviceaccounts te identificeren waarvoor domeinbrede delegatie is ingeschakeld, merkte de leverancier op.
Domeinbrede delegatie is een Google Workspace-functie waarmee een beheerder een app of serviceaccount toegang kan verlenen tot gebruikersgegevens in een domein. Het doel is om bepaalde apps en serviceaccounts de mogelijkheid te geven toegang te krijgen tot de gegevens van een gebruiker zonder telkens expliciete toestemming van elke gebruiker te vereisen. Een beheerder kan dergelijke toegang bijvoorbeeld delegeren aan een applicatie die gebruikmaakt van de programmeerinterface van de Agenda-applicatie om gebeurtenissen toe te voegen aan de agenda van een gebruiker. Volgens Google, “kan een serviceaccount met gedelegeerde bevoegdheden zich voordoen als elke gebruiker, inclusief gebruikers met toegang tot Cloud Search.”
Het probleem dat Hunters Security ontdekte, geeft een aanvaller in feite een manier om GCP-serviceaccounts te zoeken en te vinden waarvoor domeinbrede delegatie (DWD) is ingeschakeld op Google Workspace. Vervolgens kunnen ze de serviceaccounts gebruiken om namens elke gebruiker in het domein verschillende acties uit te voeren. Dit kan het stilletjes escaleren van bevoegdheden omvatten, het tot stand brengen van persistentie, het verkrijgen van ongeautoriseerde toegang tot gegevens en services, het wijzigen van gegevens, het nabootsen van gebruikers en het monitoren van vergaderingen in Google Agenda.
“Een gecompromitteerde GCP-serviceaccountsleutel met DWD ingeschakeld kan worden gebruikt om API-aanroepen uit te voeren op alle identiteiten in het doel-Workspace-domein”, aldus Hunters. “Het bereik van mogelijke acties varieert op basis van de OAuth-scopes van de delegatie.”
Proof-of-Concept-exploit
De PoC-exploitatie – ook wel DeleFriend genoemd – is voor de OAuth-delegatieaanval die de onderzoekers ontdekten. Het is ontworpen om te laten zien hoe een aanvaller bestaande JWT-combinaties kan fuzzen om automatisch DWD-serviceaccounts op Google Cloud Platform te vinden en te misbruiken.
Een aanvaller kan de PoC-code gebruiken om alle GCP-projecten in een omgeving op te sommen, alle serviceaccounts te identificeren die aan deze projecten zijn gekoppeld en de accounts te identificeren waartoe een momenteel geverifieerde gebruiker mogelijk toegang heeft. Het controleert ook de rolmachtigingen van degenen die toegang hebben tot het serviceaccount om te zien of iemand de mogelijkheid heeft om programmatisch nieuwe privésleutels te genereren voor een bestaand serviceaccount met domeinbrede delegatie.
De PoC laat vervolgens zien hoe een aanvaller een nieuwe privésleutel kan maken om zich voor te doen als en toegang te krijgen tot verschillende gebruikersaccounts.
Wat de kwetsbaarheid problematisch maakt, is dat de sleutels van GCP-serviceaccounts standaard geen vervaldatum hebben. Dit betekent dat nieuwe sleutels die een aanvaller maakt, waarschijnlijk persistentie op de lange termijn mogelijk maken. Elke nieuwe serviceaccountsleutel of instelling van een nieuwe delegatieregel zal waarschijnlijk gemakkelijk te verbergen zijn, net als alle API-aanroepen die met de sleutels worden gedaan, zei Hunters.
“Met behulp van deze tool kunnen rode teams, pentesters en beveiligingsonderzoekers aanvallen simuleren en kwetsbare aanvalspaden van GCP IAM-gebruikers naar bestaande delegaties in hun GCP-projecten lokaliseren”, aldus Hunters Security. Ze kunnen vervolgens het beveiligingsrisico en de status van hun Workspace- en GCP-omgevingen evalueren en aanscherpen, aldus het bedrijf.
Hunters Security-onderzoekers informeerden Google in augustus over het DeleFriend-probleem en werkten samen met de product- en beveiligingsteams van Google om manieren te onderzoeken om de dreiging mogelijk te beperken. Volgens Hunters heeft Google het probleem nog niet opgelost.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cloud-security/vendor-claims-design-flaw-in-google-workspace-is-putting-organizations-at-risk
- : heeft
- :is
- :niet
- a
- vermogen
- Over
- misbruik
- toegang
- Toegang tot gegevens
- Volgens
- Account
- accounts
- acties
- toevoegen
- Daarnaast
- beheerder
- tegen
- Alles
- vermeende
- toelaten
- toestaat
- ook
- bedragen
- an
- en
- elke
- iedereen
- api
- APIs
- schijnbaar
- Aanvraag
- apps
- ZIJN
- AS
- geassocieerd
- At
- aanvallen
- Aanvallen
- Augustus
- geverifieerd
- autoriteit
- webmaster.
- gebaseerde
- Eigenlijk
- BE
- namens
- BEST
- by
- Agenda
- oproepen
- CAN
- Veroorzaken
- zeker
- Controles
- aanspraak maken op
- Cloud
- Cloud Platform
- code
- bestrijden
- combinaties
- afstand
- Aangetast
- Configuratie
- kon
- en je merk te creëren
- creëert
- Wij creëren
- Op dit moment
- Klanten
- gegevens
- Datum
- Standaard
- delegatie
- tonen
- beschreven
- Design
- ontworpen
- vastbesloten
- anders
- ontdekt
- doet
- doen
- domein
- don
- rit
- nagesynchroniseerde
- elk
- En het is heel gemakkelijk
- in staat stellen
- ingeschakeld
- waardoor
- aanmoedigen
- Milieu
- omgevingen
- uitbreiden
- oprichting
- Ether (ETH)
- schatten
- EVENTS
- voorbeeld
- uitvoeren
- bestaand
- verstrijken
- Exploiteren
- Verken
- feit
- Kenmerk
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- bevindingen
- fout
- Voor
- vers
- oppompen van
- met het verkrijgen van
- GCP
- voortbrengen
- GitHub
- geeft
- gmail
- doel
- Kopen Google Reviews
- Google Cloud
- Google Cloud Platform
- toe te kennen
- Hebben
- Verbergen
- Hoe
- Echter
- HTTPS
- IAM
- ID
- identificatie
- identificeren
- identiteiten
- Identiteit
- if
- geïmplementeerd
- in
- omvatten
- Inclusief
- op de hoogte
- Interface
- kwestie
- problemen
- IT
- HAAR
- jpg
- json
- Jwt
- sleutel
- toetsen
- minst
- Niveau
- ligt
- Waarschijnlijk
- langdurig
- gemaakt
- maken
- MERKEN
- middel
- vergaderingen
- macht
- Verzachten
- Grensverkeer
- nodig
- New
- geen
- bekend
- vele
- OAuth
- object
- of
- on
- or
- organisaties
- Overige
- onze
- paden
- uitvoeren
- toestemming
- permissies
- volharding
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- PoC
- mogelijk
- Post
- potentieel
- mogelijk
- praktijk
- privaat
- private Key
- Privésleutels
- privilege
- voorrechten
- Product
- Producten
- Programming
- projecten
- puts
- rustig
- reeks
- Rood
- Afgekeurd..
- uitgebracht
- verslag
- nodig
- onderzoekers
- opgelost
- hulpbron
- beperkingen
- Risico
- Rol
- wortel
- Regel
- reglement
- s
- Zei
- Ontdek
- veiligheid
- beveiligingsonderzoekers
- zien
- service
- Diensten
- het instellen van
- tonen
- Shows
- So
- specifiek
- dergelijk
- Super
- zeker
- T
- Nemen
- doelwit
- doelgerichte
- teams
- testers
- dat
- De
- diefstal
- hun
- harte
- Deze
- ze
- dit
- deze week
- die
- bedreiging
- aandraaien
- niet de tijd of
- naar
- teken
- tokens
- tools
- proberen
- types
- onbevoegd
- die ten grondslag liggen
- .
- gebruikt
- Gebruiker
- gebruikers
- toepassingen
- gebruik
- doorgaans
- variëteit
- verkoper
- kwetsbaarheid
- Kwetsbaar
- Manier..
- manieren
- we
- zwakte
- web
- week
- welke
- WIE
- breed
- wil
- Met
- binnen
- zonder
- werkte
- nog
- zephyrnet