Siber güvenlik araştırmacıları, Google Workspace’in alan adı çapında yetki verme (DWD) özelliğinde, ayrıcalık yükseltmeyi kolaylaştırmak ve süper yönetici ayrıcalıkları olmadan Workspace API’lerine yetkisiz erişim elde etmek için tehdit aktörleri tarafından kullanılabilecek “ciddi bir tasarım hatası”nın ayrıntılarını açıkladı.
Siber güvenlik firması Hunters, The Hacker News ile paylaştığı teknik raporda, “Bu tür bir istismar, Gmail’den e-postaların çalınmasına, Google Drive’dan veri sızdırılmasına veya Google Workspace API’lerinde hedef alandaki tüm kimlikler üzerinde diğer yetkisiz işlemlere yol açabilir.” dedi. .
Bu tarihe kadar aktif olan tasarım zayıflığına kod adı verildi DeleArkadaş Google Cloud Platform (GCP) ve Google Workspace’teki mevcut yetkilendirmeleri süper yönetici ayrıcalıklarına sahip olmadan yönetebilme yeteneği nedeniyle.
Google’a göre alan adı çapında yetki verme, üçüncü taraf ve dahili uygulamaların bir kuruluşun Google Workspace ortamındaki kullanıcı verilerine erişmesine olanak tanıyan “güçlü bir özelliktir”.
Güvenlik açığı, etki alanı temsilci yapılandırmasının, hizmet hesabı kimlik nesnesiyle ilişkili belirli özel anahtarlar tarafından değil, hizmet hesabı kaynak tanımlayıcısı (OAuth ID) tarafından belirlenmesinden kaynaklanmaktadır.
Sonuç olarak, hedef bir GCP projesine daha az ayrıcalıklı erişime sahip potansiyel tehdit aktörleri, “farklı OAuth kapsamlarından oluşan çok sayıda JSON web belirteci (JWT) oluşturabilir; hesapta etki alanı çapında yetkilendirme etkin.”
Başka bir deyişle, alan çapında yetki verme iznine sahip ilgili bir GCP hizmet hesabı kaynağına yeni özel anahtarlar oluşturma erişimi olan bir IAM kimliği, yeni bir özel anahtar oluşturmak için kullanılabilir ve bu anahtar, API çağrıları gerçekleştirmek için kullanılabilir. Alandaki diğer kimlikler adına Google Workspace.
Kusurun başarılı bir şekilde kullanılması, hassas verilerin Gmail, Drive, Takvim ve diğerleri gibi Google hizmetlerinden sızmasına olanak tanıyabilir. Hunters ayrıca DWD yanlış yapılandırmalarını tespit etmek için kullanılabilecek bir kavram kanıtını (PoC) kullanıma sundu.
Hunters güvenlik araştırmacısı Yonatan Khanashvili, “Alan çapında yetkilendirmeyi kötüye kullanan kötü niyetli aktörlerin potansiyel sonuçları ciddi” dedi. “Bireysel OAuth izninde olduğu gibi yalnızca tek bir kimliği etkilemek yerine, mevcut yetkilendirmeyle DWD’den yararlanmak, Workspace etki alanındaki her kimliği etkileyebilir.