Το Google Workspace έχει προφανώς ένα προφανές ελάττωμα που θα μπορούσε να οδηγήσει σε κυβερνοεπιθέσεις

By

Marizas Dimitris

On

Νοέ 29, 2023

Ερευνητές κυβερνοασφάλειας από το Hunters είπαν ότι ανακάλυψαν ένα «σοβαρό ελάττωμα σχεδιασμού» σε μια ισχυρή λειτουργία Google Workspace.

Η Google, ωστόσο, υποβάθμισε τα ευρήματα, λέγοντας ότι δεν υπάρχουν υποκείμενα ζητήματα και ότι το θέμα είναι κάθε εταιρεία να προστατεύει τα τελικά σημεία της με τα εργαλεία που έχει στη διάθεσή της.

Όπως αναφέρεται από

Τα Νέα των Χάκερ

οι ερευνητές ανακάλυψαν ένα ελάττωμα στη δυνατότητα ανάθεσης σε επίπεδο τομέα (DWD), την οποία φέρεται να μπορούν να εκμεταλλευτούν οι χάκερ για να κλιμακώσουν τα δικαιώματα και να αποκτήσουν πρόσβαση σε API του Workspace χωρίς δικαιώματα σούπερ διαχειριστή.

Δεν υπάρχουν υποκείμενα προβλήματα, λέει η Google

Η ανάθεση σε όλο τον τομέα επιτρέπει σε εφαρμογές τρίτων, καθώς και σε εσωτερικές εφαρμογές, να έχουν πρόσβαση σε δεδομένα χρήστη σε περιβάλλον Google Workspace. Οι ερευνητές είπαν ότι το χαρακτηριστικό είναι ελαττωματικό επειδή η διαμόρφωση ανάθεσης τομέα καθορίζεται από το αναγνωριστικό πόρων λογαριασμού υπηρεσίας (OAuth ID), αντί για ιδιωτικά κλειδιά που σχετίζονται με το αντικείμενο ταυτότητας λογαριασμού υπηρεσίας.

«Τέτοια εκμετάλλευση θα μπορούσε να οδηγήσει σε κλοπή μηνυμάτων ηλεκτρονικού ταχυδρομείου από το

Gmail

, εξ

αγωγή

δεδομένων από το Google Drive ή άλλες μη εξουσιοδοτημένες ενέργειες εντός των API του Google Workspace σε όλες τις ταυτότητες στον τομέα-στόχο», ανέφεραν οι ερευνητές. Η ευπάθεια ονομάστηκε DeleFriend.

Αυτό θα επέτρεπε στους φορείς απειλών με χαμηλά προνόμια να “δημιουργήσουν πολυάριθμα διακριτικά ιστού JSON (JWT) που αποτελούνται από διαφορετικά πεδία OAuth, με στόχο τον εντοπισμό επιτυχημένων συνδυασμών ζευγών ιδιωτικών κλειδιών και εξουσιοδοτημένων πεδίων OAuth που υποδεικνύουν ότι ο

λογαριασμός

υπηρεσίας έχει ενεργοποιημένη ανάθεση σε όλο τον τομέα. “

Κατά συνέπεια, οι φορείς απειλών θα μπορούσαν να κλέψουν δεδομένα από το Gmail, το Google Drive και άλλα. Οι ερευνητές δημιούργησαν επίσης ένα proof-of-concept (PoC) για να δείξουν πώς μπορεί να γίνει κατάχρηση του ελαττώματος.

«Οι πιθανές συνέπειες κακόβουλων παραγόντων που κάνουν κατάχρηση ανάθεσης ανά τομέα είναι σοβαρές», δήλωσε ο ερευνητής ασφαλείας του Hunters, Yonatan Khanashvili. “Αντί να επηρεάζει μόνο μία ταυτότητα, όπως με μεμονωμένη συναίνεση OAuth, η εκμετάλλευση του DWD με την υπάρχουσα ανάθεση μπορεί να επηρεάσει κάθε ταυτότητα στον τομέα του Workspace.

Αλλά η Google δεν έχει τίποτα από αυτά. «Αυτή η αναφορά δεν προσδιορίζει ένα υποκείμενο ζήτημα ασφάλειας στα

προϊόντα

μας», είπε στο δημοσίευμα. «Ως βέλτιστη πρακτική, ενθαρρύνουμε τους χρήστες να βεβαιωθούν ότι όλοι οι λογαριασμοί έχουν το λιγότερο δυνατό προνόμιο (βλ. οδηγίες

εδώ

). Κάτι τέτοιο είναι το κλειδί για την καταπολέμηση αυτού του τύπου επιθέσεων».