Se produce una falla parcial en algunas funciones de Google OAuth

 (trufflesecurity.com)
1 puntos por GN⁺ 2023-12-22 | Aún no hay comentarios. | Compartir por WhatsApp

Se descubre una vulnerabilidad en Google OAuth

  • Se descubrió una vulnerabilidad en Google OAuth que permite que empleados que ya dejaron una empresa mantengan acceso indefinido a aplicaciones como Slack y Zoom.
  • Esta vulnerabilidad puede entenderse y explotarse fácilmente incluso por personas sin perfil técnico, y Google todavía no ha tomado medidas para reducir este riesgo.
  • La línea de tiempo del incidente es la siguiente: el 4 de agosto se reveló la vulnerabilidad a Google, y se estimó que cientos de aplicaciones podrían verse afectadas. El 7 de agosto se clasificó el problema. El 5 de octubre Google pagó $1337 por el hallazgo. El 25 de noviembre se realizó una divulgación privada masiva a decenas de aplicaciones afectadas, incluidas Zoom y Slack. El 16 de diciembre, 134 días después de notificar a Google, se hizo pública.

Historia de fondo

  • Uno de los beta testers de la herramienta Forager de Truffle Security encontró y publicó un caso de inicio de sesión afectado por una vulnerabilidad de Microsoft OAuth.
  • Sorprendió descubrir que Microsoft enviaba claims de correo electrónico que Microsoft no generaba ni verificaba, y que el claim de correo electrónico en sí no era confiable.
  • En la documentación de OIDC de Google se encontró una advertencia sobre usar el correo electrónico como identificador.

Cuentas de Google que no son de Gmail

  • Es posible crear una cuenta de Google usando una dirección de correo electrónico existente que no sea de Gmail.
  • Estas nuevas cuentas de Google pueden enviar claims de correo electrónico de Yahoo.
  • La razón por la que la documentación de Google recomienda no usar el correo electrónico como identificador principal es que, si un correo no Gmail se edita en la configuración y luego se crea una nueva cuenta con la dirección previamente editada, dos cuentas distintas de Google pueden enviar el mismo claim de correo electrónico.

La parte problemática

  • Es posible crear cuentas de Google a través de una organización empresarial de Google usando alias de correo electrónico y reenvío con signo más en el correo.
  • Muchas de las organizaciones afectadas procesan estas direcciones y determinan si se puede iniciar sesión usando el dominio al final del correo.
  • Estas cuentas de Google que no son de Gmail en realidad no son miembros de la organización de Google, por lo que no aparecen en la configuración del administrador ni en la lista de usuarios de Google.

Soluciones

  • Las organizaciones pueden protegerse desactivando el inicio de sesión con Google y aplicando SAML de forma estricta.
  • Los proveedores de servicios tienen una forma de determinar la membresía en una organización de Google, pero el claim hd se omite en cuentas que no pertenecen a una organización de Google.
  • Google podría tomar varios pasos para resolver este problema de forma amplia para todos.

Impacto adicional

  • Existe la posibilidad técnica de acceder a Zoom y Slack de una organización incluso sin tener acceso inicial a ellos.
  • A través de ciertos sistemas de soporte y tickets, como Zendesk, es posible crear tickets de soporte por correo electrónico y, a partir de eso, crear una cuenta de Google e iniciar sesión mediante OAuth.

Reflexión final

  • Que ex empleados puedan seguir accediendo a plataformas como Slack y Zoom debido a una falla en el sistema OAuth de Google no es una simple omisión, sino una grave falla de seguridad.
  • Google tiene la capacidad de aplicar correcciones amplias para mitigar este problema, y el propósito de la divulgación pública es impulsar un cambio real.
  • Google clasificó el problema rápidamente, pero no siguió su propia práctica recomendada de resolverlo en 90 días, por lo que el problema se hizo público en el día 134.

Opinión de GN⁺

  • Este artículo expone un grave problema de seguridad en el que una vulnerabilidad del sistema Google OAuth permite que exempleados sigan accediendo a plataformas críticas de comunicación de la empresa.
  • Este tipo de vulnerabilidad puede representar una gran amenaza para la seguridad de la información interna de las empresas, con el riesgo de filtración de información sensible.
  • El hecho de que Google no haya tomado medidas activas frente a este problema plantea una cuestión de seguridad importante tanto para empresas como para usuarios individuales, y subraya la necesidad de fortalecer la conciencia sobre ciberseguridad y los protocolos de seguridad.

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.