行业新闻与博客

安全研究人员发现了 Google Workspace 域范围委派功能中的一个新设计缺陷。 

该漏洞被 Hunters 的 Team Axon 命名为“DeleFriend”，可能会使 Google Workspace 的 API 遭受未经授权的访问和权限升级。

根据该团队周二发布的一份报告，利用此缺陷可能会导致未经授权访问 Gmail 中的电子邮件、从 Google Drive 中提取数据，以及针对目标域中所有身份的 Google Workspace API 中的其他非法活动。 

DeleFriend 允许潜在攻击者操纵 Google Cloud Platform (GCP) 和 Google Workspace 中已建立的委托。值得注意的是，这种操作可以在工作区中没有高权限超级管理员角色的情况下进行，这通常是创建新委派所必需的。

相反，通过对目标 GCP 项目进行较低权限的访问，攻击者可以生成包含各种 OAuth 范围的多个 JSON Web 令牌 (JWT)。目标是识别私钥对和授权 OAuth 范围的成功组合，从而发出服务帐户域范围委派激活的信号。

Team Axon 的研究论文还介绍了一种概念验证工具，用于评估 Google Workspace 和 GCP 环境中与此缺陷相关的安全风险。

详细了解 Google Workspace 安全性：Google Workspace 向 Gmail 和日历添加客户端加密

DoControl 解决方案咨询副总裁 Tim Davis 评论道：“这些类型的漏洞凸显了为什么对 SaaS 数据访问具有独立可见性至关重要。”

“任何 SaaS 平台都不可能拥有完美的安全性，这只是重申了需要有适当的工具来识别、警报甚至自动修复 SaaS 平台中的数据通过以前未见过的或异常的方式访问时，无论是由用户、 API，或第三方应用程序。”

Hunters 博客文章中概述的主要建议包括智能角色管理、限制 OAuth 范围、实施检测工程以及保持对安全态势的持续检查。 

负责任的披露时间表显示，该漏洞于 2023 年 8 月 7 日向 Google 报告，最初被归类为“滥用风险”，并于 2023 年 10 月 31 日接受。尽管已披露，但截至最新更新，该漏洞仍然存在。

“谷歌目前正在审查该漏洞，但与此同时，使用 Google Workspace 的安全团队应审核其权限，并确保 GCP 权限仅限于需要访问权限的帐户，”网络研究部门检测人员 Adam Neel 解释道。关键启动工程师。

“此权限通常是通过“编辑”角色授予的，但自定义角色也可以拥有该权限。要利用此漏洞，攻击者必须拥有 GCP IAM 用户的初始访问权限。如果不直接访问帐户，攻击者将无法利用此漏洞。”