Les chercheurs en cybersécurité ont détaillé un « grave défaut de conception » dans la délégation à l’échelle du domaine de Google Workspace (DWD) fonctionnalité qui pourrait être exploitée par des acteurs malveillants pour faciliter l’élévation des privilèges et obtenir un accès non autorisé aux API Workspace sans privilèges de super-administrateur.
« Une telle exploitation pourrait entraîner le vol d’e-mails de Gmail, l’exfiltration de données de Google Drive ou d’autres actions non autorisées au sein des API de Google Workspace sur toutes les identités du domaine cible », a déclaré la société de cybersécurité Hunters. dit dans un rapport technique partagé avec The Hacker News.
La faiblesse de conception – qui reste active à ce jour – a été nommée SupprimerAmi pour sa capacité à manipuler les délégations existantes dans Google Cloud Platform (GCP) et Google Workspace sans posséder les privilèges de super-administrateur.
Selon Google, la délégation à l’échelle du domaine est une « fonctionnalité puissante » qui permet aux applications tierces et internes d’accéder aux données des utilisateurs dans l’environnement Google Workspace d’une organisation.
La vulnérabilité est enracinée dans le fait qu’une configuration de délégation de domaine est déterminée par l’identifiant de ressource du compte de service (OAuth ID), et non par les clés privées spécifiques associées à l’objet d’identité du compte de service.
En conséquence, les acteurs malveillants potentiels disposant d’un accès moins privilégié à un projet GCP cible pourraient « créer de nombreux jetons Web JSON (JWT) composés de différentes portées OAuth, dans le but d’identifier les combinaisons réussies de paires de clés privées et de portées OAuth autorisées qui indiquent que le service compte a la délégation à l’échelle du domaine activée. »
En d’autres termes, une identité IAM ayant accès à la création de nouvelles clés privées pour une ressource de compte de service GCP pertinente disposant d’une autorisation de délégation existante à l’échelle du domaine peut être exploitée pour créer une nouvelle clé privée, qui peut être utilisée pour effectuer des appels d’API vers Google Workspace au nom d’autres identités du domaine.
Une exploitation réussie de la faille pourrait permettre l’exfiltration de données sensibles des services Google tels que Gmail, Drive, Calendar et autres. Les chasseurs ont également mise à disposition une preuve de concept (PoC) qui peut être utilisée pour détecter les erreurs de configuration DWD.
« Les conséquences potentielles d’un usage abusif de la délégation à l’échelle du domaine par des acteurs malveillants sont graves », a déclaré Yonatan Khanashvili, chercheur en sécurité chez Hunters. « Au lieu d’affecter une seule identité, comme avec le consentement OAuth individuel, l’exploitation de DWD avec la délégation existante peut avoir un impact sur chaque identité au sein du domaine Workspace.