Siber Muhbir

Hunters' Team Axon'dan tehdit avcılığı uzmanları tarafından keşfedilen Google Workspace'in alan genelinde yetkilendirme özelliğindeki ciddi bir tasarım hatası, saldırganların mevcut yetkilendirmeleri kötüye kullanmasına olanak tanıyarak ayrıcalık yükseltmeye ve Süper Yönetici ayrıcalıkları olmadan Workspace API'lerine yetkisiz erişime olanak tanıyabilir.

Sorumlu bir şekilde, Hunters Google'ı bu konuda bilgilendirdi ve bulgularını yayınlamadan önce onlarla kapsamlı bir şekilde işbirliği yaptı.

Alanlar arasında yetki verme, Google Workspace uygulamaları ve Google Cloud Platform (GCP) kimlik nesneleri arasında tam erişim yetkisi verilmesine olanak tanır. Yeniden ifade etmek gerekirse, GCP kimliklerinin Gmail, Google Takvim, Google Drive ve daha fazlası gibi Google SaaS uygulamalarında diğer Workspace kullanıcıları adına hareket etmesine olanak tanır.

Hunters ekibinin "DeleFriend" olarak adlandırdığı tasarım güvenlik açığı, saldırganların Workspace'te yeni yetki oluşturmak için gerekli olan yüksek ayrıcalıklı Süper Yönetici rolüne sahip olmasalar bile Google Cloud Platform ve Google Workspace'teki mevcut yetkilendirmeleri değiştirmelerine olanak tanıyor.

Farklı OAuth kapsamlarına sahip birden çok JSON web jetonu (JWT) oluşturmak, belirli bir GCP projesine daha az ayrıcalıklı erişim kullanarak mümkündür. Amaç, hizmet hesabının etki alanı genelinde yetkilendirmeyi etkinleştirdiğini belirtmek için özel anahtar çiftlerinin ve yetkili OAuth kapsamlarının doğru birleşimini bulmaktır.

Bunun nedeni, hizmet hesabı kimlik nesnesine bağlı özel anahtarlar yerine hizmet hesabı kaynak tanımlayıcısının etki alanı temsilcisi yapılandırmasını (OAuth Kimliği) belirlemesidir.

Ayrıca, API düzeyinde JWT birleşimlerini bulanıklaştırmak için herhangi bir kısıtlama uygulanmamıştır ve bu, mevcut temsilcileri bulmak ve devralmak için çok sayıda seçeneği numaralandırma seçeneğini kısıtlamaz.

Bu kusur, yukarıda açıklanan potansiyel etki nedeniyle özel bir risk oluşturur ve aşağıdakilerle güçlendirilir:

• Uzun Ömürlü: GCP Hizmeti hesapları için anahtar oluşturma işlemi varsayılan olarak bir sona erme tarihi içermez. Bu kalite, onları arka kapılar oluşturmak ve uzun ömürlerini garanti etmek için mükemmel kılar.
• Saklaması kolay: API yetkilendirme sayfasına temsilci kuralları koymak veya mevcut IAM'ler için yeni hizmet hesabı anahtarları oluşturmak gibi incelikleri gizlemek kolaydır. Bunun nedeni, bu sitelerin genellikle yeterince iyi denetlenmemiş birkaç geçerli giriş içermesidir.
• Farkındalık: BT ve Güvenlik departmanları, etki alanı genelinde temsilci seçme özelliğinin her zaman farkında olmayabilir. Özellikle kötü niyetli kötüye kullanım potansiyelinin farkında olmayabilirler.
• Tespit edilmesi zor: Yetkilendirilmiş API çağrıları, hedef kimlik adına oluşturulduğundan, API çağrıları, ilgili GWS denetim günlüklerinde kurban ayrıntılarıyla birlikte günlüğe kaydedilir. Bu, bu tür faaliyetleri tanımlamayı zorlaştırır.

"Kötü niyetli aktörlerin etki alanı genelinde yetkilendirmeyi kötüye kullanmasının ciddi sonuçları olabilir. Hunters' Team Axon'dan Yonatan Khanashvili, bireysel OAuth izninden farklı olarak, DWD'yi mevcut yetkilendirme ile kötüye kullanmanın Workspace etki alanı içindeki herhangi bir kimliğe zarar verebileceğini açıklıyor.

Temsilcinin OAuth kapsamlarına bağlı olarak çeşitli eylemler gerçekleştirilebilir. Şu örnekleri göz önünde bulundurun: Google Takvim toplantı izleme, Gmail e-posta hırsızlığı ve Drive verilerinin sızdırılması.

Hedef Hizmet Hesapları, saldırı tekniğini gerçekleştirmek için belirli bir GCP yetkilendirmesi gerektirir. Avcılar, birçok kuruluşun rutin olarak bu tür izinler sağladığını ve bu saldırı taktiğinin GCP kaynaklarını güvence altına alamayan kuruluşlar arasında oldukça sık görüldüğünü tespit etti. Khanashvili'nin belirttiği gibi, "kuruluşlar, en iyi uygulamaları takip ederek ve hakları ve kaynakları dikkatli bir şekilde yöneterek saldırı yönteminin etkisini önemli ölçüde en aza indirebilir".

Hunters, kuruluşlara DWD yanlış yapılandırmalarını tespit etme, farkındalığı artırma ve DeleFriend'in istismar risklerini azaltma konusunda yardımcı olmak için bir kavram kanıtlama aracı (tüm ayrıntılar tam araştırmaya dahil edilmiştir) oluşturmuştur. Kırmızı ekipler, sızma testçileri ve güvenlik araştırmacıları bu aracı kullanarak saldırıları simüle edebilir ve GCP IAM kullanıcılarının GCP Projelerindeki mevcut delegasyonlara yönelik güvenlik açığı bulunan saldırı yollarını bularak Çalışma Alanı ve GCP ortamlarının güvenlik riskini ve duruşunu değerlendirebilir (ve daha sonra iyileştirebilir).

Hunters' Team Axon ayrıca, güvenlik açığının tam olarak nasıl çalıştığını ortaya koyan kapsamlı bir araştırmanın yanı sıra kapsamlı tehdit avcılığı, algılama teknikleri ve etki alanı genelinde delegasyon saldırılarına karşı koymak için en iyi uygulamalar için öneriler derledi.

Hunters, Ağustos ayında Google'ın "Hata Avcıları" programının bir parçası olarak DeleFriend'i sorumlu bir şekilde Google'a bildirdi ve uygun azaltma stratejilerini keşfetmek için Google'ın güvenlik ve ürün ekipleriyle yakın işbirliği yapıyor. Şu anda, Google tasarım kusurunu henüz çözmedi.