Los investigadores de ciberseguridad han detallado un “fallo de dise\u00f1o grave” en la delegaci\u00f3n de dominio de Google Workspace (DWD<\/a>) caracter\u00edstica que podr\u00eda ser explotada por actores de amenazas para facilitar la escalada de privilegios y obtener acceso no autorizado a las API de Workspace sin privilegios de superadministrador.<\/p>\n “Tal explotaci\u00f3n podr\u00eda resultar en el robo de correos electr\u00f3nicos de Gmail, la filtraci\u00f3n de datos de Google Drive u otras acciones no autorizadas dentro de las API de Google Workspace en todas las identidades en el dominio objetivo”, dijo la firma de ciberseguridad Hunters. dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News.<\/p>\n La debilidad del dise\u00f1o, que permanece activa hasta la fecha, ha recibido el nombre en c\u00f3digo DeleFriend<\/strong> por su capacidad para manipular las delegaciones existentes en Google Cloud Platform (GCP) y Google Workspace sin poseer privilegios de superadministrador.<\/p>\n La delegaci\u00f3n de todo el dominio, seg\u00fan Google, es una “funci\u00f3n poderosa” que permite que aplicaciones internas y de terceros accedan a los datos de los usuarios en el entorno de Google Workspace de una organizaci\u00f3n.<\/p>\n La vulnerabilidad tiene su origen en el hecho de que la configuraci\u00f3n de delegaci\u00f3n de dominio est\u00e1 determinada por el identificador de recursos de la cuenta de servicio (ID de OAuth) y no por las claves privadas espec\u00edficas asociadas con el objeto de identidad de la cuenta de servicio.<\/p>\n Como resultado, los posibles actores de amenazas con acceso menos privilegiado a un proyecto de GCP objetivo podr\u00edan “crear numerosos tokens web JSON (JWT) compuestos de diferentes alcances de OAuth, con el objetivo de identificar combinaciones exitosas de pares de claves privadas y alcances de OAuth autorizados que indiquen que el servicio La cuenta tiene habilitada la delegaci\u00f3n en todo el dominio”.<\/p>\n Para decirlo de otra manera, una identidad de IAM que tiene acceso para crear nuevas claves privadas para un recurso de cuenta de servicio de GCP relevante que tiene permiso de delegaci\u00f3n existente en todo el dominio se puede aprovechar para crear una nueva clave privada, que se puede usar para realizar llamadas API a Google Workspace en nombre de otras identidades del dominio.<\/p>\n La explotaci\u00f3n exitosa de la falla podr\u00eda permitir la filtraci\u00f3n de datos confidenciales de los servicios de Google como Gmail, Drive, Calendar y otros. Los cazadores tambi\u00e9n Hecho disponible<\/a> una prueba de concepto (PoC) que se puede utilizar para detectar configuraciones err\u00f3neas de DWD.<\/p>\n “Las posibles consecuencias de que actores maliciosos hagan un mal uso de la delegaci\u00f3n en todo el dominio son graves”, dijo el investigador de seguridad de Hunters, Yonatan Khanashvili. “En lugar de afectar solo una identidad, como ocurre con el consentimiento individual de OAuth, explotar DWD con la delegaci\u00f3n existente puede afectar todas las identidades dentro del dominio del espacio de trabajo.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Un-fallo-de-diseno-en-Google-Workspace-podria-permitir-a.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n