![Google Workspace’teki Tasarım Kusuru Saldırganların Yetkisiz Erişim Elde Etmesine İzin Verebilir](https://kilalu.blog/news/2024-07-30-17:32/Google Workspace’teki Tasarım Kusuru Saldırganların Yetkisiz Erişim Elde Etmesine İzin Verebilir.jpg)
28 Kasım 2023Haber odasıVeri Güvenliği / Veri İhlali
Siber güvenlik araştırmacıları, Google Workspace’in alan çapındaki yetkilendirmesinde “ciddi bir tasarım hatası” olduğunu açıkladı (DWD) ayrıcalık yükseltmeyi kolaylaştırmak ve süper yönetici ayrıcalıkları olmadan Workspace API’lerine yetkisiz erişim elde etmek için tehdit aktörleri tarafından istismar edilebilecek bir özellik.
Siber güvenlik firması Hunters, “Bu tür bir istismar, Gmail’den e-postaların çalınmasına, Google Drive’dan veri sızmasına veya hedef alandaki tüm kimlikler üzerinde Google Workspace API’leri içindeki diğer yetkisiz işlemlere yol açabilir.” söz konusu The Hacker News ile paylaşılan teknik bir raporda.
Bu tarihe kadar aktif olan tasarım zayıflığına kod adı verildi DeleArkadaş Google Cloud Platform (GCP) ve Google Workspace’teki mevcut yetkilendirmeleri süper yönetici ayrıcalıklarına sahip olmadan yönetebilme yeteneği nedeniyle.
Google’a göre alan adı çapında yetki verme, üçüncü taraf ve dahili uygulamaların bir kuruluşun Google Workspace ortamındaki kullanıcı verilerine erişmesine olanak tanıyan “güçlü bir özelliktir”.
Güvenlik açığı, etki alanı temsilci yapılandırmasının, hizmet hesabı kimlik nesnesiyle ilişkili belirli özel anahtarlar tarafından değil, hizmet hesabı kaynak tanımlayıcısı (OAuth ID) tarafından belirlenmesinden kaynaklanmaktadır.
Sonuç olarak, hedef bir GCP projesine daha az ayrıcalıklı erişime sahip potansiyel tehdit aktörleri, “farklı OAuth kapsamlarından oluşan çok sayıda JSON web belirteci (JWT) oluşturabilir; hesapta etki alanı çapında yetkilendirme etkin.”
![Google Workspace Google Workspace](https://teknomers.com/wp-content/uploads/2023/11/1701205604_992_Google-Workspaceteki-Tasarim-Kusuru-Saldirganlarin-Yetkisiz-Erisim-Elde-Etmesine-Izin.jpg)
Başka bir deyişle, alan çapında yetki verme iznine sahip ilgili bir GCP hizmet hesabı kaynağına yeni özel anahtarlar oluşturma erişimi olan bir IAM kimliği, yeni bir özel anahtar oluşturmak için kullanılabilir ve bu anahtar, API çağrıları gerçekleştirmek için kullanılabilir. Alandaki diğer kimlikler adına Google Workspace.
Kusurun başarıyla kullanılması, hassas verilerin Gmail, Drive, Takvim ve diğerleri gibi Google hizmetlerinden sızmasına olanak tanıyabilir. Avcılar da var hazır DWD yanlış yapılandırmalarını tespit etmek için kullanılabilecek bir kavram kanıtı (PoC).
Hunters güvenlik araştırmacısı Yonatan Khanashvili, “Alan çapında yetkilendirmeyi kötüye kullanan kötü niyetli aktörlerin potansiyel sonuçları ciddi” dedi. “Bireysel OAuth izninde olduğu gibi yalnızca tek bir kimliği etkilemek yerine, mevcut yetkilendirmeyle DWD’den yararlanmak, Workspace etki alanındaki her kimliği etkileyebilir.
Popular Articles
- 11 Jul Apple AR/VR başlıkları için yapay zeka mühendisleri arıyor
- 15 Aug Merakla beklenen Star Wars oyunundan fragman geldi
- 21 Jul Akıncı, eleştiri yağmuruna tutuldu
- 07 Aug İstanbul’da terör örgütü DEAŞ’a yönelik operasyon - Son Dakika Haberler
- 06 Aug 600$’a neredeyse eksiksiz bir kopya oluşturabilecekken neden 1.600$’lık bir Apple Studio Ekranı satın alsın? Böyle bir proje zaten uygulandı
Latest Articles
- 24 Jul Google ve Uber, Lime Scootera 335 Milyon Dolar Yatırım Yaptı
- 22 Jul NASA, Soyuz Roketinde Yaşananların Ardından Rusyaya Teşekkür Etti
- 27 Jul Tesla Model S P100D, 0dan 100e 2,5 saniyede çıkacak!
- 20 Jul Yeni R Programlama Güvenlik Açığı, Projeleri Tedarik Zinciri Saldırılarına Maruz Bırakıyor
- 15 Aug Hakkaride 358 bin 430 dolar ile 4 kilo kaçak altın ele geçirildi