Google is disputing a security vendor’s report this week about an apparent design weakness in Google Workspace that puts users at risk of data theft and other potential security issues.
According to Hunters Security, a flaw in Google Workspace’s domain-wide delegation feature gives attackers a way to steal email from Gmail, exfiltrate data from Google Drive, and take other unauthorized actions within Google Workspace APIs on all identities in a targeted domain.
Forskare vid Hunters släppte denna vecka proof-of-concept-kod på GitHub för att visa hur en angripare potentiellt kan utnyttja problemet för att utföra en mängd olika skadliga åtgärder mot kunder av Google Cloud Platform-tjänster (GCP).
Google, however, rejected Hunters’ characterization of the issue as a design flaw. “This report does not identify an underlying security issue in our products,” a company spokesman said. “As a best practice, we encourage users to make sure all accounts have the least amount of privilege possible (see guidance här.). Doing so is key to combating these types of attacks.”
“DeleFriend” Threat
Hunters has dubbed the alleged flaw as “DeleFriend” and described it as enabling an attacker to manipulate existing delegations in Google Cloud Platform (GCP) and Google Workspace without needing to be a Super Admin — as is usually required for creating new delegations. The flaw gives attackers a way to search for and identify Google service accounts with domain-wide delegations, and then escalate privileges, Hunters said in its post on its findings.
“The root cause lies in the fact that the domain delegation configuration is determined by the service account resource identifier (OAuth ID), and not the specific private keys associated with the service account identity object,” the security vendor noted. Additionally, no restrictions for fuzzing of [JSON Web Token] combinations are implemented at the API level, according to Hunters. This allows attackers to create numerous JSON Web Tokens with different OAuth scopes — or predefined access rules — to try and identify service accounts that have domain-wide delegation enabled, the vendor noted.
Domänövergripande delegering is a Google Workspace feature that an administrator can use to grant an application or service account access to user data in a domain. The goal is to allow certain apps and service accounts the ability to access a user’s data without requiring explicit permission from each user each time. For example, an administrator might delegate such access to an application that uses the Calendar application programming interface to add events to a user’s calendar. Enligt Google, “a service account with delegated authority can impersonate any user, including users with access to Cloud Search.”
Problemet som Hunters Security upptäckte ger i princip en angripare ett sätt att söka efter och hitta GCP-tjänstkonton med domänövergripande delegering (DWD) aktiverad på Google Workspace. De kan sedan använda tjänstkontona för att vidta en mängd olika åtgärder för varje användares räkning på domänen. Detta kan inkludera tyst eskalering av privilegier, etablera uthållighet, få obehörig åtkomst till data och tjänster, modifiera data, utge sig för användare och övervaka möten i Google Kalender.
“A compromised GCP service account key with DWD enabled can be used to perform API calls on all of the identities in the target Workspace domain,” Hunters said. “The range of possible actions varies based on the OAuth scopes of the delegation.”
Proof-of-Concept Exploatering
Smakämnen PoC utnyttjar — also dubbed DeleFriend — is for the OAuth delegation attack the researchers discovered. It’s designed to show how an attacker can fuzz existing JWT combinations to automatically find and abuse DWD-enabled service accounts on Google Cloud Platform.
En angripare kan använda PoC-koden för att räkna upp alla GCP-projekt i en miljö, identifiera alla tjänstkonton som är associerade med dessa projekt och identifiera de konton som en för närvarande autentiserad användare kan ha åtkomst till. Den kontrollerar också rollbehörigheterna för de som har tillgång till tjänstekontot för att se om någon kan ha möjlighet att programmässigt generera nya privata nycklar för ett befintligt tjänstekonto med domänomfattande delegering.
PoC visar sedan hur en angripare kan skapa en ny privat nyckel för att imitera och komma åt olika användarkonton.
What makes the vulnerability problematic is that GCP service account keys by default don’t have an expiry date — which means any fresh keys that an attacker creates will likely enable long-term persistence. Any new service account keys or setting of a new delegation rule will likely be easy to hide and so will any API calls made using the keys, Hunters said.
“Using this tool, red teams, pen testers, and security researchers can simulate attacks and locate vulnerable attack paths of GCP IAM users to existing delegations in their GCP Projects,” Hunters Security said. They can then evaluate and tighten the security risk and posture of their Workspace and GCP environments, the company noted.
Hunters Security researchers informed Google about the DeleFriend issue in August and worked with Google’s product and security teams to explore ways to potentially mitigate the threat. According to Hunters, Google has not yet resolved the issue.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cloud-security/vendor-claims-design-flaw-in-google-workspace-is-putting-organizations-at-risk
- : har
- :är
- :inte
- a
- förmåga
- Om Oss
- missbruk
- tillgång
- Tillgång till data
- Enligt
- Konto
- konton
- åtgärder
- lägga till
- Dessutom
- administration
- mot
- Alla
- påstådda
- tillåter
- tillåter
- också
- mängd
- an
- och
- vilken som helst
- någon
- api
- API: er
- skenbar
- Ansökan
- appar
- ÄR
- AS
- associerad
- At
- attackera
- Attacker
- AUGUSTI
- authenticated
- myndighet
- automatiskt
- baserat
- I grund och botten
- BE
- vägnar
- BÄST
- by
- Kalender
- Samtal
- KAN
- Orsak
- vissa
- Kontroller
- patentkrav
- cloud
- Molnplattform
- koda
- bekämpande
- kombinationer
- företag
- Äventyras
- konfiguration
- kunde
- skapa
- skapar
- Skapa
- För närvarande
- Kunder
- datum
- Datum
- Standard
- delegation
- demonstrera
- beskriven
- Designa
- utformade
- bestämd
- olika
- upptäckt
- gör
- gör
- domän
- donation
- driv
- dubbade
- varje
- lätt
- möjliggöra
- aktiverad
- möjliggör
- uppmuntra
- Miljö
- miljöer
- eskalera
- upprättandet
- Eter (ETH)
- utvärdera
- händelser
- exempel
- exekvera
- befintliga
- upphörande
- Exploit
- utforska
- Faktum
- Leverans
- hitta
- resultat
- fel
- För
- färsk
- från
- få
- GCP
- generera
- GitHub
- ger
- gmail
- Målet
- Google Cloud
- Google Cloud Platform
- bevilja
- Har
- Dölja
- Hur ser din drömresa ut
- Men
- HTTPS
- IAM
- ID
- identifierare
- identifiera
- identiteter
- Identitet
- if
- genomföras
- in
- innefattar
- Inklusive
- informeras
- Gränssnitt
- fråga
- problem
- IT
- DESS
- jpg
- json
- Jwt
- Nyckel
- nycklar
- t minst
- Nivå
- ligger
- sannolikt
- lång sikt
- gjord
- göra
- GÖR
- betyder
- möten
- kanske
- Mildra
- övervakning
- behöver
- Nya
- Nej
- noterade
- talrik
- oauth
- objektet
- of
- on
- or
- organisationer
- Övriga
- vår
- banor
- utföra
- tillstånd
- behörigheter
- persistens
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- PoC
- möjlig
- Inlägg
- potentiell
- potentiellt
- praktiken
- privat
- privat nyckel
- Privata nycklar
- privilegium
- privilegier
- Produkt
- Produkter
- Programmering
- projekt
- Puts
- tyst
- område
- Red
- Avvisade..
- frigörs
- rapport
- Obligatorisk
- forskare
- löst
- resurs
- begränsningar
- Risk
- Roll
- rot
- Regel
- regler
- s
- Nämnda
- Sök
- säkerhet
- säkerhetsforskare
- se
- service
- Tjänster
- inställning
- show
- Visar
- So
- specifik
- sådana
- super
- säker
- T
- Ta
- Målet
- riktade
- lag
- testare
- den där
- Smakämnen
- stöld
- deras
- sedan
- Dessa
- de
- detta
- denna vecka
- de
- hot
- spänna
- tid
- till
- token
- tokens
- verktyg
- prova
- typer
- obehörig
- underliggande
- användning
- Begagnade
- Användare
- användare
- användningar
- med hjälp av
- vanligen
- mängd
- leverantör
- sårbarhet
- Sårbara
- Sätt..
- sätt
- we
- svaghet
- webb
- vecka
- som
- VEM
- bred
- kommer
- med
- inom
- utan
- arbetade
- ännu
- zephyrnet