Hunters的网络安全研究人员表示,他们在强大的GoogleWorkspace功能中发现了“严重的设计缺陷”。然而,谷歌淡化了调查结果,称不存在根本问题,这只是每家公司使用其可用工具保护其端点的问题。

谷歌Workspace显然存在一个可能导致网络攻击的明显缺陷

据《黑客新闻》报道,研究人员发现了域范围委托(DWD)功能中的一个缺陷,据称黑客可以利用该缺陷升级权限并在没有超级管理员权限的情况下获取对WorkspaceAPI的访问权限。

读者优惠:带演示版的50美元亚马逊礼品卡Perimeter81的恶意软件防护可在交付阶段拦截威胁,以防止已知恶意软件、多态攻击、零日攻击等。让您的员工自由使用网络,而无需担心数据和网络安全。

全域授权允许第三方应用以及内部应用访问GoogleWorkspace环境中的用户数据。研究人员表示,该功能存在缺陷,因为域委托配置是由服务帐户资源标识符(OAuthID)决定的,而不是与服务帐户身份对象关联的私钥。

研究人员表示:“此类利用可能会导致Gmail电子邮件被盗、GoogleDrive数据被泄露,或者GoogleWorkspaceAPI中对目标域中的所有身份进行其他未经授权的操作。”该漏洞被称为“DeleFriend”。

这将允许具有低权限的威胁行为者“创建由不同OAuth范围组成的大量JSONWeb令牌(JWT),旨在查明私钥对和授权OAuth范围的成功组合,这表明服务帐户已启用域范围委托。”

因此,威胁行为者可以从Gmail、GoogleDrive等窃取数据。研究人员还创建了一个概念验证(PoC)来展示如何滥用该缺陷。

Hunters安全研究员YonatanKhanashvili表示:“恶意行为者滥用全域授权的潜在后果是严重的。”“与个人OAuth同意不同,利用现有委派的DWD不仅会影响单个身份,还会影响工作区域内的每个身份。

但谷歌却一无所获。“这份报告没有指出我们产品中存在潜在的安全问题,”它告诉该出版物。“作为最佳实践,我们鼓励用户确保所有帐户都拥有尽可能少的权限(请参阅此处的指南)。这样做是打击此类攻击的关键。”