Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Уязвимость DeleFriend: захват аккаунтов Gmail и Google Drive без контакта с пользователем

29/11/23

googleworkspace

Компания Google опровергла сообщение об уязвимости в дизайне Google Workspace, выявленной специалистами компании Hunters Security. Ошибка, по мнению Hunters Security, позволяет злоумышленнику похищать электронную почту из Gmail, извлекать данные из Google Drive и выполнять другие несанкционированные действия в API Google Workspace.

Исследователи из Hunters назвали уязвимость «DeleFriend». Ошибка позволяет атакующему манипулировать существующими делегированиями в Google Cloud Platform (GCP) и Google Workspace без статуса суперадминистратора, который обычно требуется для создания новых делегирований. Недостаток дает возможность искать учетные записи сервисов Google с глобальными делегированиями и повышать привилегии, пишет Securitylab.

Проблема связана с тем, что конфигурация делегирования домена определяется идентификатором ресурса учетной записи сервиса (OAuth ID), а не конкретными закрытыми ключами, связанными с объектом идентификации учетной записи службы. Кроме того, на уровне API не реализовано никаких ограничений на фаззинг комбинаций JSON Web Token (JWT), что позволяет киберпреступнику создавать многочисленные веб-токены JSON с различными областями действия OAuth — или предопределенными правилами доступа — чтобы попытаться идентифицировать учетные записи, у которых включено делегирование на уровне домена.

Однако Google заявила, что в продуктах компании нет проблем с безопасностью, и рекомендовала пользователям использовать минимально возможные привилегии для защиты от таких атак. Исследователи опубликовали на GitHub PoC-эксплойт (Proof-of-Concept), который показывает, как злоумышленник может использовать DeleFriend для выполнения различных вредоносных действий. Сюда входит несанкционированный доступ к данным и услугам, модификацию данных, подделку пользователей и мониторинг встреч в Google Calendar.

Hunters Security предложила несколько способов решения проблемы, включая ограничение количества запросов JWT с использованием одного и того же ключа и пересмотр полномочий, связанных с ролью Редактора. Компания сообщила Google об этой проблеме в августе, но на данный момент Google не устранила уязвимость.

Темы:GoogleУгрозыGmailHunters Security
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...