谷歌本周对安全供应商的一份报告提出异议,该报告称 Google Workspace 存在明显的设计缺陷,该缺陷使用户面临数据盗窃和其他潜在安全问题的风险。
据 Hunters Security 称,Google Workspace 的域范围授权功能中存在缺陷,攻击者可以利用该漏洞从 Gmail 窃取电子邮件、从 Google Drive 窃取数据,以及在 Google Workspace API 中对目标域中的所有身份执行其他未经授权的操作。
Hunters 的研究人员本周在 GitHub 上发布了概念验证代码,以演示攻击者如何利用该问题对 Google Cloud Platform (GCP) 服务的客户执行各种恶意操作。
然而,谷歌拒绝了亨特斯将该问题描述为设计缺陷的说法。 “这份报告没有指出我们产品中存在潜在的安全问题,”公司发言人表示。 “作为最佳实践,我们鼓励用户确保所有帐户都拥有尽可能少的权限(请参阅指南 相关信息)。这样做是打击此类攻击的关键。”
“DeleFriend”威胁
猎人将所谓的缺陷称为“德勒·弗兰德”并将其描述为使攻击者能够操纵 Google Cloud Platform (GCP) 和 Google Workspace 中的现有委托,而无需成为超级管理员 - 创建新委托通常需要成为超级管理员。 Hunters 在其调查结果的帖子中表示,该缺陷为攻击者提供了一种搜索和识别具有域范围委托的 Google 服务帐户的方法,然后升级权限。
“根本原因在于域委托配置是由服务帐户资源标识符(OAuth ID)决定的,而不是与服务帐户身份对象关联的特定私钥,”安全供应商指出。此外,根据 Hunters 的说法,在 API 级别上对 [JSON Web Token] 组合的模糊测试没有任何限制。供应商指出,这允许攻击者创建大量具有不同 OAuth 范围(或预定义访问规则)的 JSON Web 令牌,以尝试识别启用了域范围委托的服务帐户。
域范围内的委派 是 Google Workspace 的一项功能,管理员可以使用该功能向应用程序或服务帐号授予对网域中用户数据的访问权限。目标是允许某些应用程序和服务帐户能够访问用户的数据,而无需每次都需要每个用户的明确许可。例如,管理员可以将此类访问权限委托给使用日历应用程序编程接口将事件添加到用户日历的应用程序。 据谷歌,“具有委派权限的服务帐户可以冒充任何用户,包括有权访问 Cloud Search 的用户。”
Hunters Security 发现的问题基本上为攻击者提供了一种搜索和查找在 Google Workspace 上启用了全域委派 (DWD) 的 GCP 服务帐号的方法。然后,他们可以使用服务帐户代表域中的每个用户执行各种操作。这可能包括悄悄升级权限、建立持久性、未经授权访问数据和服务、修改数据、冒充用户以及监控 Google 日历中的会议。
Hunters 表示:“启用 DWD 的受损 GCP 服务帐户密钥可用于对目标工作区域中的所有身份执行 API 调用。” “可能的操作范围根据委托的 OAuth 范围而有所不同。”
概念验证漏洞利用
PoC攻击 - 也被称为 DeleFriend - 是针对研究人员发现的 OAuth 委托攻击的。它旨在展示攻击者如何模糊现有 JWT 组合,以自动查找和滥用 Google Cloud Platform 上启用 DWD 的服务帐户。
攻击者可以使用 PoC 代码枚举环境中的所有 GCP 项目,识别与这些项目关联的所有服务帐户,并识别当前经过身份验证的用户可能有权访问的帐户。它还检查有权访问服务帐户的人员的角色权限,以查看是否有人能够通过域范围委派以编程方式为现有服务帐户生成新的私钥。
然后,PoC 展示了攻击者如何创建新的私钥来模拟和访问不同的用户帐户。
该漏洞的问题在于,GCP 服务帐户密钥默认没有到期日,这意味着攻击者创建的任何新密钥都可能实现长期持久性。 Hunters 表示,任何新的服务帐户密钥或新的委托规则设置都可能很容易隐藏,使用这些密钥进行的任何 API 调用也很容易隐藏。
Hunters Security 表示:“使用此工具,红队、渗透测试人员和安全研究人员可以模拟攻击,并定位 GCP IAM 用户对其 GCP 项目中现有委托的易受攻击路径。”该公司指出,然后他们可以评估并加强其工作区和 GCP 环境的安全风险和状况。
Hunters Security 研究人员于 8 月份向 Google 通报了 DeleFriend 问题,并与 Google 的产品和安全团队合作,探索可能减轻威胁的方法。据猎人称,谷歌尚未解决该问题。
- :具有
- :是
- :不是
- a
- 对,能力--
- 关于
- 滥用
- ACCESS
- 访问数据
- 根据
- 账号管理
- 账户
- 行动
- 加
- 另外
- 管理员
- 驳
- 所有类型
- 所谓的
- 让
- 允许
- 还
- 量
- an
- 和
- 任何
- 任何人
- API
- APIs
- 明显的
- 应用领域
- 应用
- 保健
- AS
- 相关
- At
- 攻击
- 攻击
- 八月
- 认证
- 权威
- 自动
- 基于
- 基本上
- BE
- 代表
- 最佳
- by
- 日历
- 呼叫
- CAN
- 原因
- 一定
- 支票
- 要求
- 云端技术
- 云计算平台
- 码
- 战斗
- 组合
- 公司
- 妥协
- 配置
- 可以
- 创建信息图
- 创建
- 创造
- 目前
- 合作伙伴
- data
- 日期
- 默认
- 代表团
- 演示
- 描述
- 设计
- 设计
- 决心
- 不同
- 发现
- 不
- 做
- 域
- 不
- 驾驶
- 配音
- 每
- 易
- 邮箱地址
- enable
- 启用
- 使
- 鼓励
- 环境
- 环境中
- 升级
- 建立
- 醚(ETH)
- 评估
- 事件
- 例子
- 执行
- 现有
- 到期
- 利用
- 探索
- 事实
- 专栏
- 找到最适合您的地方
- 发现
- 缺陷
- 针对
- 新鲜
- 止
- 获得
- GCP
- 生成
- GitHub上
- 给
- Gmail的
- 目标
- 谷歌
- 谷歌云
- 谷歌云平台
- 授予
- 有
- 隐藏
- 创新中心
- 但是
- HTTPS
- IAM
- ID
- 识别码
- 鉴定
- 身份
- 身分
- if
- 实施
- in
- 包括
- 包含
- 通知
- 接口
- 问题
- 问题
- IT
- 它的
- JPG
- JSON
- 智重
- 键
- 键
- 最少
- Level
- 谎言
- 容易
- 长期
- 制成
- 使
- 制作
- 手段
- 会议
- 可能
- 减轻
- 监控
- 需要
- 全新
- 没有
- 注意到
- 众多
- OAuth的
- 对象
- of
- on
- or
- 组织
- 其他名称
- 我们的
- 路径
- 演出
- 允许
- 权限
- 坚持
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 的PoC
- 可能
- 帖子
- 潜力
- 可能
- 在练习上
- 私立
- 私钥
- 私钥
- 特权
- 权限
- 产品
- 核心产品
- 代码编程
- 项目
- 认沽期权
- 悄悄
- 范围
- 红色
- 被拒绝..
- 发布
- 报告
- 必须
- 研究人员
- 解决
- 资源
- 限制
- 风险
- 角色
- 根
- 第
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- s
- 说
- 搜索
- 保安
- 安全研究员
- 看到
- 服务
- 特色服务
- 设置
- 显示
- 作品
- So
- 具体的
- 这样
- 超级
- 肯定
- T
- 采取
- 目标
- 针对
- 队
- 测试仪
- 这
- 盗窃
- 其
- 然后
- 博曼
- 他们
- Free Introduction
- 本星期
- 那些
- 威胁
- 紧缩
- 次
- 至
- 象征
- 令牌
- 工具
- 尝试
- 类型
- 擅自
- 相关
- 使用
- 用过的
- 用户
- 用户
- 使用
- 运用
- 平时
- 各种
- 供应商
- 漏洞
- 脆弱
- 方法..
- 方法
- we
- 虚弱
- 卷筒纸
- 周
- 这
- WHO
- 宽
- 将
- 中
- 也完全不需要
- 工作
- 但
- 和风网