行業新聞與博客

安全研究人員發現了 Google Workspace 域範圍委派功能中的一個新設計缺陷。 

該漏洞被 Hunters 的 Team Axon 命名為“DeleFriend”，可能會使 Google Workspace 的 API 遭受未經授權的訪問和權限升級。

根據該團隊週二發佈的一份報告，利用此缺陷可能會導致未經授權訪問 Gmail 中的電郵、從 Google Drive 中提取數據，以及針對目標域中所有身份的 Google Workspace API 中的其他非法活動。 

DeleFriend 允許潛在攻擊者操縱 Google Cloud Platform (GCP) 和 Google Workspace 中已建立的委託。值得注意的是，這種操作可以在工作區中沒有高權限超級管理員角色的情況下進行，這通常是創建新委派所必需的。

相反，通過對目標 GCP 項目進行較低權限的訪問，攻擊者可以生成包含各種 OAuth 範圍的多個 JSON Web 令牌 (JWT)。目標是識別私鑰對和授權 OAuth 範圍的成功組合，從而發出服務帳户域範圍委派激活的信號。

Team Axon 的研究論文還介紹了一種概念驗證工具，用於評估 Google Workspace 和 GCP 環境中與此缺陷相關的安全風險。

詳細瞭解 Google Workspace 安全性：Google Workspace 向 Gmail 和日曆添加客户端加密

DoControl 解決方案諮詢副總裁 Tim Davis 評論道：“這些類型的漏洞凸顯了為什麼對 SaaS 數據訪問具有獨立可見性至關重要。”

“任何 SaaS 平台都不可能擁有完美的安全性，這只是重申了需要有適當的工具來識別、警報甚至自動修復 SaaS 平台中的數據通過以前未見過的或異常的方式訪問時，無論是由用户、 API，或第三方應用程序。”

Hunters 博客文章中概述的主要建議包括智能角色管理、限制 OAuth 範圍、實施檢測工程以及保持對安全態勢的持續檢查。 

負責任的披露時間表顯示，該漏洞於 2023 年 8 月 7 日向 Google 報告，最初被歸類為“濫用風險”，並於 2023 年 10 月 31 日接受。儘管已披露，但截至最新更新，該漏洞仍然存在。

“谷歌目前正在審查該漏洞，但與此同時，使用 Google Workspace 的安全團隊應審核其權限，並確保 GCP 權限僅限於需要訪問權限的帳户，”網絡研究部門檢測人員 Adam Neel 解釋道。關鍵啓動工程師。

“此權限通常是通過“編輯”角色授予的，但自定義角色也可以擁有該權限。要利用此漏洞，攻擊者必須擁有 GCP IAM 用户的初始訪問權限。如果不直接訪問帳户，攻擊者將無法利用此漏洞。”