Google اس ہفتے ایک سیکیورٹی وینڈر کی رپورٹ کو Google Workspace میں ظاہری ڈیزائن کی کمزوری کے بارے میں متنازعہ بنا رہا ہے جو صارفین کو ڈیٹا کی چوری اور دیگر ممکنہ سیکیورٹی مسائل کے خطرے میں ڈالتی ہے۔
ہنٹرز سیکیورٹی کے مطابق، گوگل ورک اسپیس کے ڈومین وائیڈ ڈیلیگیشن فیچر میں ایک خامی حملہ آوروں کو Gmail سے ای میل چوری کرنے، گوگل ڈرائیو سے ڈیٹا نکالنے، اور ٹارگٹڈ ڈومین میں تمام شناختوں پر گوگل ورک اسپیس API کے اندر دیگر غیر مجاز کارروائیاں کرنے کا طریقہ فراہم کرتی ہے۔
ہنٹرز کے محققین نے اس ہفتے گٹ ہب پر تصور کا ثبوت کوڈ جاری کیا تاکہ یہ ظاہر کیا جا سکے کہ حملہ آور گوگل کلاؤڈ پلیٹ فارم (GCP) سروسز کے صارفین کے خلاف مختلف قسم کی بدنیتی پر مبنی کارروائیوں کو انجام دینے کے لیے اس مسئلے کا ممکنہ طور پر کیسے فائدہ اٹھا سکتا ہے۔
تاہم، گوگل نے ہنٹرز کے اس مسئلے کو ڈیزائن کی خامی کے طور پر مسترد کر دیا۔ کمپنی کے ایک ترجمان نے کہا کہ "یہ رپورٹ ہماری مصنوعات میں سیکیورٹی کے بنیادی مسئلے کی نشاندہی نہیں کرتی ہے۔" "ایک بہترین عمل کے طور پر، ہم صارفین کی حوصلہ افزائی کرتے ہیں کہ وہ یہ یقینی بنائیں کہ تمام اکاؤنٹس میں کم سے کم مراعات ممکن ہیں (رہنمائی دیکھیں یہاں)۔ ایسا کرنا اس قسم کے حملوں کا مقابلہ کرنے کی کلید ہے۔
"ڈیل فرینڈ" کی دھمکی
شکاریوں نے مبینہ خامی کو "ڈیل فرینڈاور اسے سپر ایڈمن ہونے کی ضرورت کے بغیر Google Cloud Platform (GCP) اور Google Workspace میں موجودہ وفود کو جوڑ توڑ کرنے کے لیے حملہ آور کو فعال کرنے کے طور پر بیان کیا — جیسا کہ عام طور پر نئے وفود بنانے کے لیے ضروری ہوتا ہے۔ ہنٹرز نے اپنے نتائج پر اپنی پوسٹ میں کہا کہ یہ خامی حملہ آوروں کو ڈومین کے وسیع وفود کے ساتھ گوگل سروس اکاؤنٹس کو تلاش کرنے اور ان کی شناخت کرنے کا ایک طریقہ فراہم کرتی ہے، اور پھر مراعات میں اضافہ کرتی ہے۔
"بنیادی وجہ اس حقیقت میں مضمر ہے کہ ڈومین ڈیلیگیشن کنفیگریشن کا تعین سروس اکاؤنٹ ریسورس آئیڈینٹیفائر (OAuth ID) کے ذریعے کیا جاتا ہے، نہ کہ سروس اکاؤنٹ کی شناختی آبجیکٹ سے وابستہ مخصوص نجی کلید،" سیکیورٹی وینڈر نے نوٹ کیا۔ مزید برآں، ہنٹرز کے مطابق، API کی سطح پر [JSON Web Token] کے امتزاج کو مبہم کرنے کے لیے کوئی پابندیاں لاگو نہیں کی گئی ہیں۔ وینڈر نے نوٹ کیا کہ یہ حملہ آوروں کو مختلف OAuth اسکوپس کے ساتھ متعدد JSON ویب ٹوکن بنانے کی اجازت دیتا ہے — یا پہلے سے طے شدہ رسائی کے قواعد — کو آزمانے اور ان سروس اکاؤنٹس کی شناخت کرنے کے لیے جن میں ڈومین وائڈ ڈیلیگیشن فعال ہے، وینڈر نے نوٹ کیا۔
ڈومین وسیع وفد Google Workspace کی ایک خصوصیت ہے جسے منتظم کسی ڈومین میں صارف کے ڈیٹا تک ایپلیکیشن یا سروس اکاؤنٹ تک رسائی دینے کے لیے استعمال کر سکتا ہے۔ مقصد یہ ہے کہ کچھ ایپس اور سروس اکاؤنٹس کو ہر بار ہر صارف سے واضح اجازت کی ضرورت کے بغیر صارف کے ڈیٹا تک رسائی کی اجازت دی جائے۔ مثال کے طور پر، منتظم کسی ایسی ایپلیکیشن تک رسائی دے سکتا ہے جو صارف کے کیلنڈر میں واقعات شامل کرنے کے لیے کیلنڈر ایپلیکیشن پروگرامنگ انٹرفیس کا استعمال کرتی ہے۔ Google کے مطابق, "منتخب اتھارٹی کے ساتھ ایک سروس اکاؤنٹ کسی بھی صارف کی نقالی کرسکتا ہے، بشمول کلاؤڈ تلاش تک رسائی والے صارفین۔"
ہنٹرز سیکیورٹی نے بنیادی طور پر جو مسئلہ دریافت کیا ہے وہ حملہ آور کو گوگل ورک اسپیس پر فعال ڈومین وائیڈ ڈیلیگیشن (DWD) کے ساتھ GCP سروس اکاؤنٹس کو تلاش کرنے اور تلاش کرنے کا ایک طریقہ فراہم کرتا ہے۔ اس کے بعد وہ ڈومین میں ہر صارف کی جانب سے مختلف قسم کے اقدامات کرنے کے لیے سروس اکاؤنٹس کا استعمال کر سکتے ہیں۔ اس میں خاموشی سے مراعات کو بڑھانا، استقامت قائم کرنا، ڈیٹا اور سروسز تک غیر مجاز رسائی حاصل کرنا، ڈیٹا میں ترمیم کرنا، صارفین کی نقالی کرنا، اور گوگل کیلنڈر میں میٹنگز کی نگرانی کرنا شامل ہو سکتا ہے۔
ہنٹرز نے کہا کہ "DWD کے ساتھ سمجھوتہ شدہ GCP سروس اکاؤنٹ کی کلید کو ٹارگٹ ورک اسپیس ڈومین میں تمام شناختوں پر API کال کرنے کے لیے استعمال کیا جا سکتا ہے۔" "ممکنہ کارروائیوں کی حد وفد کے OAuth دائرہ کار کی بنیاد پر مختلف ہوتی ہے۔"
ثبوت کا تصور استحصال
۔ پی او سی کا استحصال — جسے DeleFriend بھی کہا جاتا ہے — OAuth وفد کے حملے کے لیے ہے جو محققین نے دریافت کیا۔ اسے یہ ظاہر کرنے کے لیے ڈیزائن کیا گیا ہے کہ کس طرح حملہ آور گوگل کلاؤڈ پلیٹ فارم پر DWD- فعال سروس اکاؤنٹس کو خود بخود تلاش کرنے اور ان کا غلط استعمال کرنے کے لیے موجودہ JWT کے امتزاج کو دھندلا سکتا ہے۔
ایک حملہ آور ماحول میں تمام GCP پروجیکٹس کو شمار کرنے کے لیے PoC کوڈ کا استعمال کرسکتا ہے، ان پروجیکٹس سے وابستہ تمام سروس اکاؤنٹس کی شناخت کرسکتا ہے، اور ان اکاؤنٹس کی شناخت کرسکتا ہے جن تک فی الحال تصدیق شدہ صارف کو رسائی حاصل ہوسکتی ہے۔ یہ ان لوگوں کے کردار کی اجازتوں کو بھی چیک کرتا ہے جن کے پاس سروس اکاؤنٹ تک رسائی ہے یہ دیکھنے کے لیے کہ آیا کسی کے پاس ڈومین وائڈ ڈیلیگیشن کے ساتھ موجودہ سروس اکاؤنٹ کے لیے پروگرام کے مطابق نئی نجی کلیدیں تیار کرنے کی اہلیت ہو سکتی ہے۔
PoC پھر دکھاتا ہے کہ کس طرح حملہ آور مختلف صارف اکاؤنٹس کی نقالی اور رسائی کے لیے ایک تازہ نجی کلید بنا سکتا ہے۔
جو چیز خطرے کو پریشانی کا باعث بناتی ہے وہ یہ ہے کہ GCP سروس اکاؤنٹ کیز کی ڈیفالٹ تاریخ ختم ہونے کی تاریخ نہیں ہوتی ہے - جس کا مطلب ہے کہ کوئی بھی تازہ کلید جو حملہ آور بناتا ہے وہ ممکنہ طور پر طویل مدتی استقامت کو قابل بنائے گی۔ ہنٹرز نے کہا کہ کسی بھی نئی سروس اکاؤنٹ کی چابیاں یا نئے وفد کے اصول کی ترتیب کو چھپانا آسان ہوگا اور اسی طرح کیز کا استعمال کرتے ہوئے کی جانے والی کوئی بھی API کال ہوگی۔
ہنٹرز سیکیورٹی نے کہا، "اس ٹول کا استعمال کرتے ہوئے، ریڈ ٹیمیں، قلم کے ٹیسٹرز، اور سیکورٹی محققین حملوں کی نقل بنا سکتے ہیں اور GCP IAM صارفین کے اپنے GCP پروجیکٹس میں موجودہ وفود کے لیے خطرناک حملے کے راستے تلاش کر سکتے ہیں۔" اس کے بعد وہ اپنے ورک اسپیس اور جی سی پی ماحول کے سیکورٹی رسک اور پوزیشن کا جائزہ لے سکتے ہیں اور اسے سخت کر سکتے ہیں، کمپنی نے نوٹ کیا۔
ہنٹرز سیکیورٹی کے محققین نے اگست میں گوگل کو ڈیل فرینڈ کے مسئلے سے آگاہ کیا اور گوگل کے پروڈکٹ اور سیکیورٹی ٹیموں کے ساتھ مل کر ممکنہ طور پر خطرے کو کم کرنے کے طریقے تلاش کرنے کے لیے کام کیا۔ ہنٹرز کے مطابق گوگل نے ابھی تک اس مسئلے کو حل نہیں کیا ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cloud-security/vendor-claims-design-flaw-in-google-workspace-is-putting-organizations-at-risk
- : ہے
- : ہے
- : نہیں
- a
- کی صلاحیت
- ہمارے بارے میں
- بدسلوکی
- تک رسائی حاصل
- ڈیٹا تک رسائی۔
- کے مطابق
- اکاؤنٹ
- اکاؤنٹس
- اعمال
- شامل کریں
- اس کے علاوہ
- منتظم
- کے خلاف
- تمام
- مبینہ طور پر
- کی اجازت
- کی اجازت دیتا ہے
- بھی
- رقم
- an
- اور
- کوئی بھی
- کسی
- اے پی آئی
- APIs
- واضح
- درخواست
- ایپس
- کیا
- AS
- منسلک
- At
- حملہ
- حملے
- اگست
- تصدیق شدہ
- اتھارٹی
- خود کار طریقے سے
- کی بنیاد پر
- بنیادی طور پر
- BE
- کی طرف سے
- BEST
- by
- کیلنڈر
- کالز
- کر سکتے ہیں
- کیونکہ
- کچھ
- چیک
- کا دعوی
- بادل
- کلاؤڈ پلیٹ فارم
- کوڈ
- مقابلہ کرنا
- کے مجموعے
- کمپنی کے
- سمجھوتہ کیا
- ترتیب
- سکتا ہے
- تخلیق
- پیدا
- تخلیق
- اس وقت
- گاہکوں
- اعداد و شمار
- تاریخ
- پہلے سے طے شدہ
- وفد
- مظاہرہ
- بیان کیا
- ڈیزائن
- ڈیزائن
- کا تعین
- مختلف
- دریافت
- کرتا
- کر
- ڈومین
- ڈان
- ڈرائیو
- ڈوب
- ہر ایک
- آسان
- ای میل
- کو چالو کرنے کے
- چالو حالت میں
- کو فعال کرنا
- کی حوصلہ افزائی
- ماحولیات
- ماحول
- بڑھ
- قیام
- Ether (ETH)
- اندازہ
- واقعات
- مثال کے طور پر
- عملدرآمد
- موجودہ
- ختم ہونے
- دھماکہ
- تلاش
- حقیقت یہ ہے
- نمایاں کریں
- مل
- نتائج
- غلطی
- کے لئے
- تازہ
- سے
- حاصل کرنا
- GCP
- پیدا
- GitHub کے
- فراہم کرتا ہے
- GMAIL
- مقصد
- گوگل
- گوگل کلاؤڈ
- گوگل کلاؤڈ پلیٹ فارم
- عطا
- ہے
- ذاتی ترامیم چھپائیں
- کس طرح
- تاہم
- HTTPS
- IAM
- ID
- شناخت
- شناخت
- شناخت
- شناختی
- if
- عملدرآمد
- in
- شامل
- سمیت
- مطلع
- انٹرفیس
- مسئلہ
- مسائل
- IT
- میں
- فوٹو
- JSON
- Jwt
- کلیدی
- چابیاں
- کم سے کم
- سطح
- جھوٹ ہے
- امکان
- طویل مدتی
- بنا
- بنا
- بناتا ہے
- کا مطلب ہے کہ
- اجلاسوں میں
- شاید
- تخفیف کریں
- نگرانی
- ضرورت ہے
- نئی
- نہیں
- کا کہنا
- متعدد
- اوہ
- اعتراض
- of
- on
- or
- تنظیمیں
- دیگر
- ہمارے
- راستے
- انجام دینے کے
- اجازت
- اجازتیں
- مسلسل
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پی او سی
- ممکن
- پوسٹ
- ممکنہ
- ممکنہ طور پر
- پریکٹس
- نجی
- ذاتی کلید
- نجی چابیاں
- استحقاق
- استحقاق
- مصنوعات
- حاصل
- پروگرامنگ
- منصوبوں
- رکھتا ہے
- خاموشی سے
- رینج
- ریڈ
- مسترد..
- جاری
- رپورٹ
- ضرورت
- محققین
- حل کیا
- وسائل
- پابندی
- رسک
- کردار
- جڑ
- حکمرانی
- قوانین
- s
- کہا
- تلاش کریں
- سیکورٹی
- سیکورٹی محققین
- دیکھنا
- سروس
- سروسز
- قائم کرنے
- دکھائیں
- شوز
- So
- مخصوص
- اس طرح
- سپر
- اس بات کا یقین
- T
- لے لو
- ہدف
- ھدف بنائے گئے
- ٹیموں
- ٹیسٹر۔
- کہ
- ۔
- چوری
- ان
- تو
- یہ
- وہ
- اس
- اس ہفتے
- ان
- خطرہ
- سخت
- وقت
- کرنے کے لئے
- ٹوکن
- ٹوکن
- کے آلے
- کوشش
- اقسام
- غیر مجاز
- بنیادی
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- استعمال
- کا استعمال کرتے ہوئے
- عام طور پر
- مختلف اقسام کے
- وینڈر
- خطرے کا سامنا
- قابل اطلاق
- راستہ..
- طریقوں
- we
- کمزوری
- ویب
- ہفتے
- جس
- ڈبلیو
- وسیع
- گے
- ساتھ
- کے اندر
- بغیر
- کام کیا
- ابھی
- زیفیرنیٹ