Lỗ hổng thiết kế trong Google Workspace có thể cho phép kẻ tấn công có được quyền truy cập trái phép

Các nhà nghiên cứu an ninh mạng đã trình bày chi tiết về một "lỗi thiết kế nghiêm trọng" trong tính năng ủy quyền trên toàn miền (DWD) của Google Workspace. Tính năng này có thể bị các tác nhân đe dọa khai thác nhằm tạo điều kiện cho việc leo thang đặc quyền và giành quyền truy cập trái phép vào API Workspace mà không có đặc quyền của quản trị viên cấp cao.

Việc khai thác như vậy có thể dẫn đến việc đánh cắp email từ Gmail, đánh cắp dữ liệu từ Google Drive hoặc các hành động trái phép khác trong API Google Workspace đối với tất cả danh tính trong miền mục tiêu.

Điểm yếu về thiết kế – vẫn còn tồn tại cho đến nay – đã được đặt tên mã là DeleFriend vì khả năng thao túng các ủy quyền hiện có trong Google Cloud Platform (GCP) và Google Workspace mà không có đặc quyền của quản trị viên cấp cao.

Khi đưa ra bình luận, Google đã phản đối việc mô tả vấn đề này là một lỗi thiết kế. “Báo cáo này không xác định được vấn đề bảo mật cơ bản trong các sản phẩm của chúng tôi,” nó cho biết. “Theo cách tốt nhất, chúng tôi khuyến khích người dùng đảm bảo tất cả các tài khoản đều có ít đặc quyền nhất có thể (xem hướng dẫn tại đây). Làm như vậy là chìa khóa để chống lại các kiểu tấn công này.”

Theo Google, ủy quyền trên toàn miền là một "tính năng mạnh mẽ" cho phép các ứng dụng nội bộ và bên thứ ba truy cập vào dữ liệu của người dùng trên môi trường Google Workspace của tổ chức.

Lỗ hổng này bắt nguồn từ thực tế là cấu hình ủy quyền miền được xác định bởi mã định danh tài nguyên tài khoản dịch vụ (ID OAuth) chứ không phải các khóa riêng tư cụ thể được liên kết với đối tượng nhận dạng tài khoản dịch vụ.

Do đó, các tác nhân đe dọa tiềm ẩn có quyền truy cập ít đặc quyền hơn vào dự án GCP mục tiêu có thể "tạo ra nhiều mã thông báo web JSON (JWT) bao gồm các phạm vi OAuth khác nhau, nhằm mục đích xác định sự kết hợp thành công của các cặp khóa riêng và phạm vi OAuth được ủy quyền cho biết rằng dịch vụ tài khoản đã bật ủy quyền trên toàn miền."

Nói cách khác, danh tính IAM có quyền truy cập để tạo khóa riêng tư mới cho tài nguyên tài khoản dịch vụ GCP có liên quan có quyền ủy quyền trên toàn miền hiện có có thể được tận dụng để tạo khóa riêng tư mới, có thể được sử dụng để thực hiện lệnh gọi API tới Google Workspace thay mặt cho những danh tính khác trong miền.

Khai thác thành công lỗ hổng có thể cho phép trích xuất dữ liệu nhạy cảm khỏi các dịch vụ của Google như Gmail, Drive, Lịch và các dịch vụ khác. Hunters cũng đã cung cấp bằng chứng khái niệm (PoC) có thể được sử dụng để phát hiện các cấu hình sai của DWD.

Nhà nghiên cứu bảo mật Yonatan Khanashvili cho biết: “Hậu quả tiềm ẩn của việc các tác nhân độc hại lạm dụng ủy quyền trên toàn miền là rất nghiêm trọng”. "Thay vì chỉ ảnh hưởng đến một danh tính duy nhất, như với sự đồng ý OAuth riêng lẻ, việc khai thác DWD với sự ủy quyền hiện có có thể ảnh hưởng đến mọi danh tính trong miền Workspace.

Hương – Theo TheHackerNews