Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

Уязвимость DeleFriend: захват аккаунтов Gmail и Google Drive без контакта с пользователем

29/11/23

googleworkspace

Компания Google опровергла сообщение об уязвимости в дизайне Google Workspace, выявленной специалистами компании Hunters Security. Ошибка, по мнению Hunters Security, позволяет злоумышленнику похищать электронную почту из Gmail, извлекать данные из Google Drive и выполнять другие несанкционированные действия в API Google Workspace.

Исследователи из Hunters назвали уязвимость «DeleFriend». Ошибка позволяет атакующему манипулировать существующими делегированиями в Google Cloud Platform (GCP) и Google Workspace без статуса суперадминистратора, который обычно требуется для создания новых делегирований. Недостаток дает возможность искать учетные записи сервисов Google с глобальными делегированиями и повышать привилегии, пишет Securitylab.

Проблема связана с тем, что конфигурация делегирования домена определяется идентификатором ресурса учетной записи сервиса (OAuth ID), а не конкретными закрытыми ключами, связанными с объектом идентификации учетной записи службы. Кроме того, на уровне API не реализовано никаких ограничений на фаззинг комбинаций JSON Web Token (JWT), что позволяет киберпреступнику создавать многочисленные веб-токены JSON с различными областями действия OAuth — или предопределенными правилами доступа — чтобы попытаться идентифицировать учетные записи, у которых включено делегирование на уровне домена.

Однако Google заявила, что в продуктах компании нет проблем с безопасностью, и рекомендовала пользователям использовать минимально возможные привилегии для защиты от таких атак. Исследователи опубликовали на GitHub PoC-эксплойт (Proof-of-Concept), который показывает, как злоумышленник может использовать DeleFriend для выполнения различных вредоносных действий. Сюда входит несанкционированный доступ к данным и услугам, модификацию данных, подделку пользователей и мониторинг встреч в Google Calendar.

Hunters Security предложила несколько способов решения проблемы, включая ограничение количества запросов JWT с использованием одного и того же ключа и пересмотр полномочий, связанных с ролью Редактора. Компания сообщила Google об этой проблеме в августе, но на данный момент Google не устранила уязвимость.

Темы:GoogleУгрозыGmailHunters Security
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...