Los investigadores de ciberseguridad han detallado un «fallo de diseño grave» en la delegación de dominio de Google Workspace (DWD) característica que podría ser explotada por actores de amenazas para facilitar la escalada de privilegios y obtener acceso no autorizado a las API de Workspace sin privilegios de superadministrador.
«Tal explotación podría resultar en el robo de correos electrónicos de Gmail, la filtración de datos de Google Drive u otras acciones no autorizadas dentro de las API de Google Workspace en todas las identidades en el dominio objetivo», dijo la firma de ciberseguridad Hunters. dicho en un informe técnico compartido con The Hacker News.
La debilidad del diseño, que permanece activa hasta la fecha, ha recibido el nombre en código DeleFriend por su capacidad para manipular las delegaciones existentes en Google Cloud Platform (GCP) y Google Workspace sin poseer privilegios de superadministrador.
La delegación de todo el dominio, según Google, es una «función poderosa» que permite que aplicaciones internas y de terceros accedan a los datos de los usuarios en el entorno de Google Workspace de una organización.
La vulnerabilidad tiene su origen en el hecho de que la configuración de delegación de dominio está determinada por el identificador de recursos de la cuenta de servicio (ID de OAuth) y no por las claves privadas específicas asociadas con el objeto de identidad de la cuenta de servicio.
Como resultado, los posibles actores de amenazas con acceso menos privilegiado a un proyecto de GCP objetivo podrían «crear numerosos tokens web JSON (JWT) compuestos de diferentes alcances de OAuth, con el objetivo de identificar combinaciones exitosas de pares de claves privadas y alcances de OAuth autorizados que indiquen que el servicio La cuenta tiene habilitada la delegación en todo el dominio».
Para decirlo de otra manera, una identidad de IAM que tiene acceso para crear nuevas claves privadas para un recurso de cuenta de servicio de GCP relevante que tiene permiso de delegación existente en todo el dominio se puede aprovechar para crear una nueva clave privada, que se puede usar para realizar llamadas API a Google Workspace en nombre de otras identidades del dominio.
La explotación exitosa de la falla podría permitir la filtración de datos confidenciales de los servicios de Google como Gmail, Drive, Calendar y otros. Los cazadores también Hecho disponible una prueba de concepto (PoC) que se puede utilizar para detectar configuraciones erróneas de DWD.
«Las posibles consecuencias de que actores maliciosos hagan un mal uso de la delegación en todo el dominio son graves», dijo el investigador de seguridad de Hunters, Yonatan Khanashvili. «En lugar de afectar solo una identidad, como ocurre con el consentimiento individual de OAuth, explotar DWD con la delegación existente puede afectar todas las identidades dentro del dominio del espacio de trabajo.