网络安全公司 Hunters 在一份技术报告中指出，“这类攻击可导致 Gmail 邮件被盗，Google Drive 数据遭提取，或其它在目标域中所有身份上的 Google Workspace API 中的越权操作。”

该设计缺陷目前仍呈活跃状态，因无需拥有超级管理员权限就能够操纵Google Cloud Platform (GCP) 和 Google Workspace 中已有的授权，因此被命名为“DeleFriend”。

按照谷歌的介绍，DWD是一种“强大的特性”，可使第三方和内部应用访问组织机构 Google Workspace 环境中的数据。该漏洞的根因在于域授权配置取决于服务账户资源标识符 (OAuth ID)，而非与服务账户身份对象关联的具体私钥。因此，针对目标 GCP 项目的较少权限访问的潜在威胁行动者可“创建由不同 OAuth 范围组成的很多 JWTs，旨在查明私钥对和授权OAuth 范围的成功组合，说明该服务账户已启用 DWD。”换句话说，有权为具备已有DWD 权限的相关 GCP 服务账户资源创建新私钥的IAM身份，能够被用于创建新的私钥，从而代表域中其它身份执行对 Google Workspace 的 API 调用。

成功利用该漏洞可导致攻击者从谷歌服务如 Gmail、Drive、Calendar 等中提取敏感数据。Hunters 还提供了 PoC 以检测 DWD 配置不当问题。Hunters 公司的安全研究员 Yonatan Khanashvili 表示，“恶意人员滥用 DWD 的潜在后果非常严重。它不仅影响单个身份，因为通过个人OAuth 同意，利用已有授权的DWD 可影响 Workspace 域中的所有身份。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~