Des chercheurs en cybersécurité de la société Hunters ont découvert une vulnérabilité dans Google Workspace qui pourrait permettre un accès indésirable aux API de Workspace.
Selon l’équipe de Hunters, la vulnérabilité est basée sur le rôle de Google Workspace dans la gestion des identités des utilisateurs à travers les services Google Cloud.
La délégation à l’échelle du domaine permet de connecter à Workspace des objets d’identité provenant de Google Workspace Marketplace ou d’un compte de service Google Cloud Platform.
Une fois à l’intérieur d’un compte avec des privilèges de super administrateur, les attaquants peuvent potentiellement consulter les courriels dans Gmail, voir l’emploi du temps d’une personne dans Google Calendar ou exfiltrer des données de Google Drive.
Le résultat final est un objet JWT, qui peut être échangé avec un jeton d’accès temporaire pour permettre l’accès aux API de Google.
Figure A. L’outil est destiné aux chercheurs afin de détecter les mauvaises configurations, et « d’accroître la sensibilisation aux attaques de délégation OAuth dans GCP et Google Workspace et d’améliorer la posture de sécurité des organisations qui utilisent la fonctionnalité Domain-Wide-Delegation », a écrit Hunters.
