Teilweiser Ausfall einiger Google-OAuth-Funktionen

 (trufflesecurity.com)
1 Punkte von GN⁺ 2023-12-22 | Noch keine Kommentare. | Auf WhatsApp teilen

Schwachstelle in Google OAuth entdeckt

  • Es wurde eine Schwachstelle in Google OAuth entdeckt, durch die ehemalige Mitarbeiter unbegrenzt auf Anwendungen wie Slack und Zoom zugreifen können.
  • Diese Schwachstelle ist auch für nichttechnische Personen leicht zu verstehen und auszunutzen, und Google hat bislang keine Maßnahmen ergriffen, um dieses Risiko zu mindern.
  • Die Zeitleiste des Vorfalls ist wie folgt: Am 4. August wurde Google über die Schwachstelle informiert; es wird erwartet, dass Hunderte von Anwendungen betroffen sind. Am 7. August wurde das Problem klassifiziert. Am 5. Oktober zahlte Google 1337 US-Dollar für das Problem. Am 25. November erfolgte eine private Massenoffenlegung an Dutzende betroffene Anwendungen, darunter Zoom und Slack. Am 16. Dezember wurde die Schwachstelle 134 Tage nach der Meldung an Google veröffentlicht.

Hintergrund

  • Einer der Beta-Tester des Forager-Tools von Truffle Security entdeckte und veröffentlichte einen Login-Fall, der von einer Microsoft-OAuth-Schwachstelle betroffen war.
  • Es war überraschend, dass Microsoft E-Mail-Claims sendet, die nicht von Microsoft erstellt oder verifiziert wurden, und dass der E-Mail-Claim selbst nicht vertrauenswürdig ist.
  • In der OIDC-Dokumentation von Google wurde ein Hinweis gefunden, keine E-Mail-Adresse als Identifikator zu verwenden.

Non-Gmail-Google-Konten

  • Es ist möglich, ein Google-Konto mit einer bestehenden E-Mail-Adresse zu erstellen, die keine Gmail-Adresse ist.
  • Diese neuen Google-Konten können Yahoo-E-Mail-Claims senden.
  • Der Grund, warum die Google-Dokumentation davon abrät, E-Mail-Adressen als primären Identifikator zu verwenden, ist, dass in den Einstellungen eine Nicht-Gmail-Adresse bearbeitet werden kann und zwei verschiedene Google-Konten denselben E-Mail-Claim senden können, wenn später ein neues Konto mit der zuvor bearbeiteten E-Mail-Adresse erstellt wird.

Problematischer Teil

  • Über eine Google-Unternehmensorganisation können mit E-Mail-Aliasen und E-Mail-Plus-Addressing Google-Konten erstellt werden.
  • Diese E-Mail-Adressen werden in vielen betroffenen Organisationen geparst, wobei anhand der Domain am Ende der E-Mail entschieden wird, ob eine Anmeldung erlaubt ist.
  • Diese Nicht-Gmail-Google-Konten sind tatsächlich keine Mitglieder der Google-Organisation und erscheinen daher weder in Administrator-Einstellungen noch in der Google-Nutzerliste.

Lösungsansätze

  • Organisationen können sich schützen, indem sie Google-Login deaktivieren und SAML strikt erzwingen.
  • Dienstanbieter haben Möglichkeiten, die Mitgliedschaft in einer Google-Organisation festzustellen, allerdings wird der hd-Claim bei Konten weggelassen, die keine Mitglieder einer Google-Organisation sind.
  • Google könnte mehrere Schritte unternehmen, um dieses Problem breitflächig für alle zu beheben.

Weitere Auswirkungen

  • Es besteht eine technische Möglichkeit, auf Zoom und Slack einer Organisation zuzugreifen, auch ohne anfängliche Zugriffsberechtigung.
  • Über bestimmte Support- und Ticketsysteme wie Zendesk können Support-Tickets per E-Mail erstellt werden; darüber lässt sich ein Google-Konto erzeugen, mit dem dann per OAuth ein Login möglich ist.

Abschließende Gedanken

  • Dass ehemalige Mitarbeiter aufgrund einer Lücke im OAuth-System von Google weiterhin auf Plattformen wie Slack und Zoom zugreifen können, ist nicht nur ein Versehen, sondern ein schwerwiegender Sicherheitsmangel.
  • Google hat die Möglichkeit, breit angelegte Korrekturen zur Minderung dieses Problems umzusetzen, und das Ziel der öffentlichen Offenlegung ist, tatsächliche Veränderungen anzustoßen.
  • Google klassifizierte das Problem zwar schnell, hielt sich jedoch nicht an die eigene Best Practice, Probleme innerhalb von 90 Tagen zu beheben; deshalb wurde die Schwachstelle am 134. Tag veröffentlicht.

Meinung von GN⁺

  • Dieser Artikel macht ein schwerwiegendes Sicherheitsproblem sichtbar: Durch eine Schwachstelle im Google-OAuth-System können ausgeschiedene Mitarbeiter weiterhin auf wichtige Kommunikationsplattformen eines Unternehmens zugreifen.
  • Solche Schwachstellen können eine erhebliche Bedrohung für die interne Informationssicherheit von Unternehmen darstellen und potenziell zum Abfluss sensibler Informationen führen.
  • Dass Google bei diesem Problem nicht aktiv gehandelt hat, wirft für Unternehmen wie auch für Einzelanwender wichtige Sicherheitsfragen auf und unterstreicht die Notwendigkeit, das Bewusstsein für Cybersecurity zu schärfen und Sicherheitsprotokolle zu stärken.

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.