В Google Workspace обнаружили серьезный недостаток безопасности
В Google Workspace обнаружили серьезный недостаток безопасности. Фото: СС0
Как сообщает The Hacker News, исследователи обнаружили недостаток в функции делегирования на уровне домена (DWD), которую хакеры предположительно могут использовать для повышения привилегий и получения доступа к API Workspace без привилегий суперадминистратора.
Уязвимость получила название DeleFriend.
Делегирование на уровне домена позволяет сторонним приложениям, а также внутренним приложениям получать доступ к пользовательским данным в среде Google Workspace. Исследователи заявили, что эта функция ошибочна, поскольку конфигурация делегирования домена определяется идентификатором ресурса учетной записи службы (OAuth ID), а не закрытыми ключами, связанными с объектом идентификации учетной записи службы.
Из сообщения исследователей:
«Подобная эксплуатация может привести к краже электронных писем из Gmail, утечке данных с Google Диска или другим несанкционированным действиям в API Google Workspace со всеми учетными данными в целевом домене. Это позволит злоумышленникам с низкими привилегиями «создавать многочисленные веб-токены JSON (JWT), состоящие из различных областей OAuth, с целью точно определить успешные комбинации пар закрытых ключей и авторизованных областей OAuth, которые указывают на то, что в учетной записи службы включено делегирование на уровне всего домена.»
Следовательно, злоумышленники могут украсть данные из Gmail, Google Drive и других служб Google. Исследователи также создали доказательство концепции (PoC), чтобы продемонстрировать, как можно злоупотреблять этим недостатком.
В Google отрицают проблему.
Из сообщения Google:
«В этом отчете не выявлена основная проблема безопасности в наших продуктах. В качестве наилучшей практики мы рекомендуем пользователям убедиться, что все учетные записи имеют минимально возможный объем привилегий. Это является ключом к борьбе с этими типами атак.»
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было