网络安全研究人员详细介绍了谷歌工作区的全域授权(DWD)功能中的一个“严重设计缺陷”,威胁行为者可能会利用该缺陷来促进权限升级,并在没有超级管理员权限的情况下获得对工作区API的未经授权访问。这种利用可能导致Gmail中的电子邮件被盗、谷歌硬盘中的数据泄露,或在谷歌工作区API中对目标域中的所有身份采取其他未经授权的行动。该设计弱点至今仍很活跃,其代号为DeleFriend,因为它能够在谷歌云平台(GCP)和谷歌工作区中操纵现有委派,而无需拥有超级管理权限。
该漏洞的根源在于域委派配置由服务帐户资源标识符(OAuth ID)决定,而不是由与服务帐户标识对象关联的特定私钥决定。因此,对目标GCP项目访问权限较低的潜在威胁参与者可以“创建由不同OAuth作用域组成的大量JSON web令牌(JWT),旨在确定私钥对和author的成功组合。
期待你的关注,定不负所望