Уязвимость DeleFriend: захват аккаунтов Gmail и Google Drive без контакта с пользователем

Компания Google опровергла сообщение об уязвимости в дизайне Google Workspace, выявленной специалистами компании Hunters Security. Ошибка, по мнению Hunters Security, позволяет злоумышленнику похищать электронную почту из Gmail, извлекать данные из Google Drive и выполнять другие несанкционированные действия в API Google Workspace.

Исследователи из Hunters назвали уязвимость «DeleFriend». Ошибка позволяет атакующему манипулировать существующими делегированиями в Google Cloud Platform (GCP) и Google Workspace без статуса суперадминистратора, который обычно требуется для создания новых делегирований. Недостаток дает возможность искать учетные записи сервисов Google с глобальными делегированиями и повышать привилегии.

Проблема связана с тем, что конфигурация делегирования домена определяется идентификатором ресурса учетной записи сервиса (OAuth ID), а не конкретными закрытыми ключами, связанными с объектом идентификации учетной записи службы. Кроме того, на уровне API не реализовано никаких ограничений на фаззинг комбинаций JSON Web Token (JWT), что позволяет киберпреступнику создавать многочисленные веб-токены JSON с различными областями действия OAuth — или предопределенными правилами доступа — чтобы попытаться идентифицировать учетные записи, у которых включено делегирование на уровне домена.

Однако Google заявила, что в продуктах компании нет проблем с безопасностью, и рекомендовала пользователям использовать минимально возможные привилегии для защиты от таких атак. Исследователи опубликовали на GitHub PoC-эксплойт (Proof-of-Concept), который показывает, как злоумышленник может использовать DeleFriend для выполнения различных вредоносных действий. Сюда входит несанкционированный доступ к данным и услугам, модификацию данных, подделку пользователей и мониторинг встреч в Google Calendar.

Hunters Security предложила несколько способов решения проблемы, включая ограничение количества запросов JWT с использованием одного и того же ключа и пересмотр полномочий, связанных с ролью Редактора. Компания сообщила Google об этой проблеме в августе, но на данный момент Google не устранила уязвимость.