行業新聞與部落格

安全研究人員發現了 Google Workspace 域範圍委派功能中的一個新設計缺陷。 

該漏洞被 Hunters 的 Team Axon 命名為“DeleFriend”，可能會使 Google Workspace 的 API 遭受未經授權的訪問和許可權升級。

根據該團隊週二釋出的一份報告，利用此缺陷可能會導致未經授權訪問 Gmail 中的電子信箱、從 Google Drive 中提取資料，以及針對目標域中所有身份的 Google Workspace API 中的其他非法活動。 

DeleFriend 允許潛在攻擊者操縱 Google Cloud Platform (GCP) 和 Google Workspace 中已建立的委託。值得注意的是，這種操作可以在工作區中沒有高許可權超級管理員角色的情況下進行，這通常是建立新委派所必需的。

相反，透過對目標 GCP 專案進行較低許可權的訪問，攻擊者可以生成包含各種 OAuth 範圍的多個 JSON Web 令牌 (JWT)。目標是識別金鑰對和授權 OAuth 範圍的成功組合，從而發出服務帳戶域範圍委派啟用的訊號。

Team Axon 的研究論文還介紹了一種概念驗證工具，用於評估 Google Workspace 和 GCP 環境中與此缺陷相關的安全風險。

詳細瞭解 Google Workspace 安全性：Google Workspace 向 Gmail 和日曆新增客戶端加密

DoControl 解決方案諮詢副總裁 Tim Davis 評論道：“這些型別的漏洞凸顯了為什麼對 SaaS 資料訪問具有獨立可見性至關重要。”

“任何 SaaS 平臺都不可能擁有完美的安全性，這只是重申了需要有適當的工具來識別、警報甚至自動修復 SaaS 平臺中的資料透過以前未見過的或異常的方式訪問時，無論是由使用者、 API，或第三方應用程式。”

Hunters 部落格文章中概述的主要建議包括智慧角色管理、限制 OAuth 範圍、實施檢測工程以及保持對安全態勢的持續檢查。 

負責任的披露時間表顯示，該漏洞於 2023 年 8 月 7 日向 Google 報告，最初被歸類為“濫用風險”，並於 2023 年 10 月 31 日接受。儘管已披露，但截至最新更新，該漏洞仍然存在。

“谷歌目前正在審查該漏洞，但與此同時，使用 Google Workspace 的安全團隊應稽核其許可權，並確保 GCP 許可權僅限於需要訪問許可權的帳戶，”網路研究部門檢測人員 Adam Neel 解釋道。關鍵啟動工程師。

“此許可權通常是透過“編輯”角色授予的，但自定義角色也可以擁有該許可權。要利用此漏洞，攻擊者必須擁有 GCP IAM 使用者的初始訪問許可權。如果不直接訪問帳戶，攻擊者將無法利用此漏洞。”