聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
网络安全公司 Hunters 在一份技术报告中指出,“这类攻击可导致 Gmail 邮件被盗,Google Drive 数据遭提取,或其它在目标域中所有身份上的 Google Workspace API 中的越权操作。”
该设计缺陷目前仍呈活跃状态,因无需拥有超级管理员权限就能够操纵Google Cloud Platform (GCP) 和 Google Workspace 中已有的授权,因此被命名为“DeleFriend”。
按照谷歌的介绍,DWD是一种“强大的特性”,可使第三方和内部应用访问组织机构 Google Workspace 环境中的数据。该漏洞的根因在于域授权配置取决于服务账户资源标识符 (OAuth ID),而非与服务账户身份对象关联的具体私钥。因此,针对目标 GCP 项目的较少权限访问的潜在威胁行动者可“创建由不同 OAuth 范围组成的很多 JWTs,旨在查明私钥对和授权OAuth 范围的成功组合,说明该服务账户已启用 DWD。”换句话说,有权为具备已有DWD 权限的相关 GCP 服务账户资源创建新私钥的IAM身份,能够被用于创建新的私钥,从而代表域中其它身份执行对 Google Workspace 的 API 调用。
成功利用该漏洞可导致攻击者从谷歌服务如 Gmail、Drive、Calendar 等中提取敏感数据。Hunters 还提供了 PoC 以检测 DWD 配置不当问题。Hunters 公司的安全研究员 Yonatan Khanashvili 表示,“恶意人员滥用 DWD 的潜在后果非常严重。它不仅影响单个身份,因为通过个人OAuth 同意,利用已有授权的DWD 可影响 Workspace 域中的所有身份。”
https://thehackernews.com/2023/11/design-flaw-in-google-workspace-could.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):谷歌 Workspace 中的设计缺陷可导致越权访问
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论