В Google Workspace обнаружили серьезный недостаток безопасности

Исследователи кибербезопасности из Hunters заявили, что обнаружили «серьёзный недостаток дизайна» в функции Google Workspace.
В Google Workspace обнаружили серьезный недостаток безопасности

В Google Workspace обнаружили серьезный недостаток безопасности. Фото: СС0

Как сообщает The Hacker News, исследователи обнаружили недостаток в функции делегирования на уровне домена (DWD), которую хакеры предположительно могут использовать для повышения привилегий и получения доступа к API Workspace без привилегий суперадминистратора.

Уязвимость получила название DeleFriend.

Делегирование на уровне домена позволяет сторонним приложениям, а также внутренним приложениям получать доступ к пользовательским данным в среде Google Workspace. Исследователи заявили, что эта функция ошибочна, поскольку конфигурация делегирования домена определяется идентификатором ресурса учетной записи службы (OAuth ID), а не закрытыми ключами, связанными с объектом идентификации учетной записи службы.

Из сообщения исследователей:

«Подобная эксплуатация может привести к краже электронных писем из Gmail, утечке данных с Google Диска или другим несанкционированным действиям в API Google Workspace со всеми учетными данными в целевом домене. Это позволит злоумышленникам с низкими привилегиями «создавать многочисленные веб-токены JSON (JWT), состоящие из различных областей OAuth, с целью точно определить успешные комбинации пар закрытых ключей и авторизованных областей OAuth, которые указывают на то, что в учетной записи службы включено делегирование на уровне всего домена.»

Следовательно, злоумышленники могут украсть данные из Gmail, Google Drive и других служб Google. Исследователи также создали доказательство концепции (PoC), чтобы продемонстрировать, как можно злоупотреблять этим недостатком.

В Google отрицают проблему.

Из сообщения Google:

«В этом отчете не выявлена ​​основная проблема безопасности в наших продуктах. В качестве наилучшей практики мы рекомендуем пользователям убедиться, что все учетные записи имеют минимально возможный объем привилегий. Это является ключом к борьбе с этими типами атак.»

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

Google Workspace Пакет корпоративных сервисов для совместной работы и автоматизации бизнес-процессов от компании Google.
Пакет корпоративных сервисов для совместной работы и автоматизации бизнес-процессов от компании Google.
Google Workspace исследование безопасность
0
Views count39207
0
Новость
30 Ноября 2023

Больше интересного

Сколько сервисов утоляют голод 90 маркетологов?
10 незаметных, но полезных сервисов 2017 года
Незащищённые серверы и облачные сервисы: как удалённая работа расширила возможности хакеров
Правила защиты данных Workspace теперь доступны для Gmail в бета-версии
Две новые функции "Обратного звонка" для большей генерации лидов внедрили в Envybox
E-mail маркетинг больше не работает?

Актуальное

Как ИП на УСН без сотрудников отчитываться в 2023 году
 Google Vault интегрировали с Календарем
 В Google Таблицы внедрили распознавание и заполнение шаблонов на базе искусственного интеллекта
Ещё…
RSS