Компания Google опровергла сообщение об уязвимости в дизайне Google Workspace, выявленной специалистами компании Hunters Security. Ошибка, по мнению Hunters Security, позволяет злоумышленнику похищать электронную почту из Gmail, извлекать данные из Google Drive и выполнять другие несанкционированные действия в API Google Workspace.
Исследователи из Hunters назвали уязвимость “DeleFriend”. Ошибка позволяет атакующему манипулировать существующими делегированиями в Google Cloud Platform (GCP) и Google Workspace без статуса суперадминистратора, который обычно требуется для создания новых делегирований. Недостаток дает возможность искать учетные записи сервисов Google с глобальными делегированиями и повышать привилегии.
Проблема связана с тем, что конфигурация делегирования домена определяется идентификатором ресурса учетной записи сервиса (OAuth ID), а не конкретными закрытыми ключами, связанными с объектом идентификации учетной записи службы. Кроме того, на уровне API не реализовано никаких ограничений на фаззинг комбинаций JSON Web Token (JWT), что позволяет киберпреступнику создавать многочисленные веб-токены JSON с различными областями действия OAuth – или предопределенными правилами доступа – чтобы попытаться идентифицировать учетные записи, у которых включено
При этом служебный аккаунт с делегированными полномочиями может выдавать себя за любого пользователя, включая пользователей, имеющих доступ к Cloud Search.