La seguridad de la información es un tema crítico tanto para individuos como para empresas. Recientemente, un descubrimiento alarmante ha sacudido los cimientos de Google Workspace, una suite de herramientas de productividad muy popular. En este artículo desglosaremos este hallazgo, explicando de manera clara y sencilla el concepto y las implicaciones de esta falla de diseño.
Google Workspace, anteriormente conocido como G Suite, es un conjunto de herramientas de productividad y colaboración desarrollado por Google. Incluye aplicaciones muy conocidas como Gmail, Docs, Drive, Calendar y Meet, entre otras. Estas herramientas son ampliamente utilizadas por empresas, instituciones educativas y usuarios individuales para gestionar la comunicación, la creación de documentos y el almacenamiento de datos.
Te podrá interesar leer: Comparativa: Google Workspace vs. Microsoft 365
Recientemente, expertos en ciberseguridad han identificado un importante problema de diseño en la función de Delegación de Dominio (DWD) de Google Workspace. Este fallo podría ser aprovechado por actores maliciosos para aumentar sus privilegios y acceder de manera no autorizada a las API de Workspace sin requerir privilegios de superadministrador.
Esta explotación potencial podría dar lugar al robo de correos electrónicos de Gmail, la filtración de datos almacenados en Google Drive y otras acciones no autorizadas en las API de Google Workspace en todas las cuentas dentro del dominio objetivo. La firma de ciberseguridad Hunters ha documentado esta debilidad de diseño en un informe técnico.
La vulnerabilidad, que sigue siendo activa en la fecha actual, ha sido denominada "DeleFriend" debido a su capacidad para manipular las delegaciones existentes tanto en Google Cloud Platform (GCP) como en Google Workspace sin necesidad de tener privilegios de superadministrador.
Te podrá interesar leer: Vulnerabilidades Cibernéticas: Un Análisis a Profundidad
Al contactar a Google para obtener comentarios al respecto, la empresa cuestionó la descripción del problema como un defecto de diseño y destacó la importancia de reducir al mínimo los privilegios de las cuentas como una medida de seguridad recomendada. Según Google, la Delegación de Dominio es una función poderosa que permite que aplicaciones tanto internas como de terceros accedan a los datos de los usuarios dentro del entorno de Google Workspace de una organización.
La raíz de esta vulnerabilidad reside en que la configuración de la Delegación de Dominio se basa en el identificador de recursos de la cuenta de servicio (ID de OAuth) en lugar de las claves privadas específicas asociadas con la identidad de la cuenta de servicio en cuestión.
Esto significa que posibles actores maliciosos con un nivel de acceso menos privilegiado a un proyecto de GCP objetivo podrían crear varios tokens web JSON (JWT) con diferentes alcances de OAuth en un intento de identificar combinaciones exitosas de claves privadas y alcances de OAuth autorizados. Esto indicaría que la cuenta de servicio tiene habilitada la delegación en todo el dominio.
En resumen, una identidad de IAM (Identidad y Acceso a la Gestión) que tiene la capacidad de crear nuevas claves privadas para un recurso de cuenta de servicio de GCP relevante con permiso de delegación existente en todo el dominio puede ser explotada para crear una nueva clave privada que permitiría realizar llamadas a las API de Google Workspace en nombre de otras identidades dentro del dominio.
La explotación exitosa de esta vulnerabilidad podría resultar en la filtración de datos confidenciales de servicios de Google como Gmail, Drive, Calendar y otros. Hunters ha proporcionado una prueba de concepto (PoC) que puede utilizarse para detectar configuraciones incorrectas de DWD.
El investigador de seguridad de Hunters, Yonatan Khanashvili, advirtió sobre las graves consecuencias de que actores maliciosos utilicen de manera indebida la delegación en todo el dominio, ya que en lugar de afectar solo a una identidad, como ocurre con el consentimiento individual de OAuth, esta explotación puede afectar a todas las identidades dentro del dominio de Google Workspace.
Este incidente sirve como un recordatorio crucial de la importancia de la seguridad en el desarrollo de software. Es esencial que las empresas que desarrollan estas herramientas prioricen la seguridad desde el inicio del proceso de diseño. Además, deben realizarse pruebas de seguridad continuas para identificar y remediar cualquier vulnerabilidad potencial.
Te podría interesar leer: Pentesting: Desafiando y Fortaleciendo tus Sistemas
La falla de diseño en Google Workspace es un llamado de atención para usuarios y desarrolladores por igual. Mientras que Google trabaja en resolver este problema, es importante que los usuarios tomen medidas proactivas para proteger sus datos. Este incidente también resalta la necesidad de un diseño de software con un enfoque en la seguridad y la importancia de la comunicación transparente por parte de las empresas en cuanto a los riesgos de seguridad.
La seguridad digital es un campo en constante evolución, y este incidente en Google Workspace nos recuerda la necesidad de estar siempre alertas y preparados. Al mantenernos informados y tomar medidas proactivas, podemos ayudar a proteger nuestra valiosa información en este mundo digital interconectado.