Pesquisadores de cibersegurança detalharam uma "falha de design grave" no recurso de delegação de domínio completo (DWD) do Google Workspace que poderia ser explorada por agentes de ameaças para facilitar a escalada de privilégios e obter acesso não autorizado às APIs do Workspace sem privilégios de super administrador.
"Essa exploração poderia resultar no roubo de e-mails do Gmail, na exfiltração de dados do Google Drive, ou em outras ações não autorizadas nas APIs do Google Workspace em todas as identidades no domínio alvo", afirmou a empresa de cibersegurança Hunters em um relatório técnico compartilhado com The Hacker News.
A fraqueza no design - que permanece ativa até hoje - foi apelidada de DeleFriend por sua capacidade de manipular delegações existentes na Google Cloud Platform (GCP) e no Google Workspace sem possuir privilégios de super administrador.
Quando questionado para comentar, o Google contestou a caracterização do problema como uma falha de design.
"Este relatório não identifica uma questão de segurança subjacente em nossos produtos", disse.
"Como melhor prática, encorajamos os usuários a garantir que todas as contas tenham a menor quantidade de privilégio possível (veja orientação aqui).
Fazer isso é fundamental para combater esses tipos de ataques.”
Delegação de domínio completo, segundo o Google, é um "recurso poderoso" que permite que aplicativos internos e de terceiros acessem os dados dos usuários em todo o ambiente do Google Workspace de uma organização.
A vulnerabilidade está enraizada no fato de que uma configuração de delegação de domínio é determinada pelo identificador de recursos da conta de serviço (OAuth ID), e não pelas chaves privadas específicas associadas ao objeto de identidade da conta de serviço.
Como resultado, possíveis agentes de ameaça com acesso menos privilegiado a um projeto GCP alvo poderiam "criar numerosos tokens da web JSON (JWTs) compostos de diferentes escopos OAuth, com o objetivo de identificar combinações bem-sucedidas de pares de chaves privadas e escopos OAuth autorizados que indicam que a conta de serviço tem a delegação de domínio ativada.
Para colocar de outra forma, uma identidade IAM que tem acesso para criar novas chaves privadas para um recurso de conta de serviço GCP relevante que tem permissão de delegação de domínio existente pode ser usada para criar uma nova chave privada, que pode ser usada para realizar chamadas de API para o Google Workspace em nome de outras identidades no domínio."
A exploração bem-sucedida da falha poderia permitir a exfiltração de dados sensíveis de serviços do Google como Gmail, Drive, Calendar e outros.
Hunters também disponibilizou uma prova de conceito (PoC) que pode ser utilizada para detectar configurações incorretas de DWD.
"As possíveis consequências de atores maliciosos que fazem uso indevido da delegação de domínio completo são graves", disse o pesquisador de segurança da Hunters, Yonatan Khanashvili.
"Em vez de afetar apenas uma única identidade, como no caso do consentimento individual OAuth, a exploração de DWD com delegação existente pode impactar cada identidade dentro do domínio do Workspace.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...