Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Un fallo de diseño en Google Workspace podría permitir a los atacantes obtener acceso no autorizado
  • Tecnología

Un fallo de diseño en Google Workspace podría permitir a los atacantes obtener acceso no autorizado

teknomers 28 de Kasım de 2023 (Last updated: 28 de Kasım de 2023) 3 minutes read
Un fallo de diseño en Google Workspace podría permitir a


28 de noviembre de 2023Sala de redacciónSeguridad de datos/violación de datos

Los investigadores de ciberseguridad han detallado un “fallo de diseño grave” en la delegación de dominio de Google Workspace (DWD) característica que podría ser explotada por actores de amenazas para facilitar la escalada de privilegios y obtener acceso no autorizado a las API de Workspace sin privilegios de superadministrador.

“Tal explotación podría resultar en el robo de correos electrónicos de Gmail, la filtración de datos de Google Drive u otras acciones no autorizadas dentro de las API de Google Workspace en todas las identidades en el dominio objetivo”, dijo la firma de ciberseguridad Hunters. dicho en un informe técnico compartido con The Hacker News.

La debilidad del diseño, que permanece activa hasta la fecha, ha recibido el nombre en código DeleFriend por su capacidad para manipular las delegaciones existentes en Google Cloud Platform (GCP) y Google Workspace sin poseer privilegios de superadministrador.

La delegación de todo el dominio, según Google, es una “función poderosa” que permite que aplicaciones internas y de terceros accedan a los datos de los usuarios en el entorno de Google Workspace de una organización.

La seguridad cibernética

La vulnerabilidad tiene su origen en el hecho de que la configuración de delegación de dominio está determinada por el identificador de recursos de la cuenta de servicio (ID de OAuth) y no por las claves privadas específicas asociadas con el objeto de identidad de la cuenta de servicio.

Como resultado, los posibles actores de amenazas con acceso menos privilegiado a un proyecto de GCP objetivo podrían “crear numerosos tokens web JSON (JWT) compuestos de diferentes alcances de OAuth, con el objetivo de identificar combinaciones exitosas de pares de claves privadas y alcances de OAuth autorizados que indiquen que el servicio La cuenta tiene habilitada la delegación en todo el dominio”.

Espacio de trabajo de Google

Para decirlo de otra manera, una identidad de IAM que tiene acceso para crear nuevas claves privadas para un recurso de cuenta de servicio de GCP relevante que tiene permiso de delegación existente en todo el dominio se puede aprovechar para crear una nueva clave privada, que se puede usar para realizar llamadas API a Google Workspace en nombre de otras identidades del dominio.

La explotación exitosa de la falla podría permitir la filtración de datos confidenciales de los servicios de Google como Gmail, Drive, Calendar y otros. Los cazadores también Hecho disponible una prueba de concepto (PoC) que se puede utilizar para detectar configuraciones erróneas de DWD.

“Las posibles consecuencias de que actores maliciosos hagan un mal uso de la delegación en todo el dominio son graves”, dijo el investigador de seguridad de Hunters, Yonatan Khanashvili. “En lugar de afectar solo una identidad, como ocurre con el consentimiento individual de OAuth, explotar DWD con la delegación existente puede afectar todas las identidades dentro del dominio del espacio de trabajo.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Millones de fanáticos de Apple advirtieron sobre una ‘actualización falsa’ que roba dinero y contraseñas: dos comprobaciones para evitar una descarga mortal
Next: Aquí está el mejor vino tinto del año: vale la pena el precio.

Related Stories

Nothing Projector: hasta 420 € de descuento en las pantallas
  • Tecnología

Nothing Projector: hasta 420 € de descuento en las pantallas Black Series para disfrutar de las noches con amigos en (muy) grande

teknomers 10 de Temmuz de 2026
¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software
  • Tecnología

¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software a menos de 22€ lo soluciona de por vida.

teknomers 10 de Temmuz de 2026
Volotea aumentaba el precio de los billetes después de la
  • Tecnología

Volotea aumentaba el precio de los billetes después de la compra, una práctica que ha disparado la represión de fraudes.

teknomers 10 de Temmuz de 2026

You May Have Missed

  • Deporte

Liga de Diamante: Emmanuel Wanyonyi establece un nuevo récord mundial en los 1,000m en Mónaco

teknomers 10 de Temmuz de 2026
  • General

Cameron Diaz: Cita del día de Cameron Diaz: ‘Lo que necesitamos hacer, en lugar de preocuparnos por lo que no tenemos, es…’ Lecciones de vida sobre autoaprecio, autenticidad, salud mental, confianza y gratitud.

teknomers 10 de Temmuz de 2026
  • General

Asesinato de Charlie Kirk: el destino judicial del sospechoso en suspenso hasta septiembre

teknomers 10 de Temmuz de 2026
  • Deporte

Equipo de Francia: deslumbrante frente a Marruecos, ¿«el menospreciado» Manu Koné se irá para dar paso a Aurélien Tchouaméni?

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.