511/66 (IT) ประจำวันพุธที่ 29 พฤศจิกายน 2566

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ให้รายละเอียดเกี่ยวกับ “ข้อบกพร่องที่ร้ายเเรงด้านการออกแบบ” ในฟีเจอร์ Domain-Wide Delegation ( DWD ) ของ Google Workspace ที่ผู้คุกคามอาจนำไปใช้ประโยชน์ได้ เพื่ออำนวยความสะดวกในการยกระดับสิทธิ์และรับสิทธิ์ในการเข้าถึง Workspace API โดยไม่ได้รับอนุญาต “การใช้ประโยชน์ดังกล่าวอาจส่งผลให้มีการขโมยอีเมลจาก Gmail, การขโมยข้อมูลจาก Google Drive หรือการกระทำอื่น ๆ ที่ไม่ได้รับอนุญาตภายใน Google Workspace APIs กับข้อมูลประจำตัวทั้งหมดในโดเมนเป้าหมาย” Hunters บริษัทรักษาความปลอดภัยทางไซเบอร์กล่าวในรายงานทางเทคนิคว่าจุดอ่อนด้านการออกแบบซึ่งยังคงใช้อยู่จนถึงปัจจุบัน มีชื่อรหัสว่า DeleFriend เนื่องจากความสามารถในการจัดการ delegations ที่มีอยู่ใน Google Cloud Platform (GCP) และ Google Workspace โดยไม่ต้องมีสิทธิ์ของผู้ดูแลระบบขั้นสูง Domain-wide delegation ตาม Google คือ “ฟีเจอร์ที่มีประสิทธิภาพ” ที่ช่วยให้แอปของบุคคลที่สามและแอปภายในสามารถเข้าถึงข้อมูลของผู้ใช้ Google Workspace ขององค์กรได้
ช่องโหว่นี้มีรากฐานมาจากข้อเท็จจริงที่ว่าการกำหนดค่า domain delegation ถูกกำหนดโดยตัวระบุทรัพยากรบัญชีบริการ (OAuth ID) และไม่ใช่คีย์เฉพาะที่เกี่ยวโยงกับข้อมูลประจำตัวของบัญชีบริการ ด้วยเหตุนี้ ผู้คุกคามที่มีศักยภาพซึ่งมีสิทธิ์เข้าถึงโครงการ GCP สามารถ “สร้างโทเค็นเว็บ JSON (JWT) จำนวนมากที่ประกอบด้วย OAuth ใน scope ที่แตกต่างกัน ซึ่งบ่งชี้ว่าบริการดังกล่าว บัญชีเปิดใช้งาน domain-wide delegation” การใช้ประโยชน์จากข้อบกพร่องนี้อาจทำให้มีการกรองข้อมูลที่ละเอียดอ่อนจากบริการของ Google เช่น Gmail, ไดรฟ์, ปฏิทิน และอื่นๆ นอกจากนี้ Hunters ยังได้จัดทำ Proof-of-Concept (PoC) ที่สามารถใช้เพื่อตรวจจับการกำหนดค่า DWD ไม่ถูกต้องอีกด้วย
แหล่งข่าว https://thehackernews.com/2023/11/design-flaw-in-google-workspace-could.html