Google Workspace : une grave faille de sécurité permet d’accéder aux API sans privilèges d’administrateur

« Une telle exploitation pourrait entraîner le vol de courriels dans Gmail, l’exfiltration de données dans Google Drive ou d’autres actions non autorisées dans les API de Google Workspace sur toutes les identités du domaine cible », a déclaré la société de cybersécurité Hunters dans un rapport technique partagé avec The Hacker News.

La faiblesse de conception – qui reste active à ce jour – a reçu le nom de code DeleFriend en raison de sa capacité à manipuler les délégations existantes dans Google Cloud Platform (GCP) et Google Workspace sans posséder les privilèges de super-administrateur.

Selon Google, la délégation à l’échelle du domaine est une « fonctionnalité puissante » qui permet à des applications tierces et internes d’accéder aux données des utilisateurs dans l’environnement Google Workspace d’une organisation.

La vulnérabilité est due au fait que la configuration d’une délégation de domaine est déterminée par l’identifiant de ressource du compte de service (OAuth ID), et non par les clés privées spécifiques associées à l’objet d’identité du compte de service. Par conséquent, les acteurs potentiels de la menace disposant d’un accès moins privilégié à un projet GCP cible pourraient « créer de nombreux jetons web JSON (JWT) composés de différentes portées OAuth, dans le but de repérer les combinaisons réussies de paires de clés privées et de portées OAuth autorisées qui indiquent que le compte de service a activé la délégation à l’échelle du domaine ». En d’autres termes, une identité IAM qui a accès à la création de nouvelles clés privées vers une ressource de compte de service GCP pertinente qui dispose d’une autorisation de délégation à l’échelle du domaine peut être utilisée pour créer une nouvelle clé privée, qui peut être utilisée pour effectuer des appels API à Google Workspace au nom d’autres identités dans le domaine. Une exploitation réussie de la faille pourrait permettre l’exfiltration de données sensibles à partir de services Google tels que Gmail, Drive, Calendar, et d’autres. Hunters a également mis à disposition une preuve de concept (PoC) qui peut être utilisée pour détecter les mauvaises configurations de DWD.

« Les conséquences potentielles d’une mauvaise utilisation de la délégation à l’échelle du domaine par des acteurs malveillants sont graves », a déclaré Yonatan Khanashvili, chercheur en sécurité chez Hunters. « Au lieu d’affecter une seule identité, comme dans le cas d’un consentement OAuth individuel, l’exploitation de DWD avec une délégation existante peut avoir un impact sur toutes les identités au sein du domaine Workspace. »