Translated ['src/pentesting-cloud/workspace-security/gws-workspace-sync-

This commit is contained in:
Translator
2025-05-20 06:05:05 +00:00
parent 73e376081a
commit a749100099
@@ -4,30 +4,30 @@
## 基本情報
GCDSを使用してユーザーを同期するこの方法の主な違いは、GCDSは手動でダウンロードして実行する必要があるバイナリを使用するのに対し、**Admin Directory Syncはサーバーレス**でGoogleによって管理されていることです [https://admin.google.com/ac/sync/externaldirectories](https://admin.google.com/ac/sync/externaldirectories)。
GCDSを使用してユーザーを同期するこの方法の主な違いは、GCDSは手動でダウンロードして実行する必要があるバイナリを使用するのに対し、**Admin Directory Syncはサーバーレス**でGoogleによって管理されていることです [https://admin.google.com/ac/sync/externaldirectories](https://admin.google.com/ac/sync/externaldirectories)。
この執筆時点で、このサービスはベータ版であり、2種類の同期をサポートしています:**Active Directory**からと**Azure Entra ID**から:
- **Active Directory:** これを設定するには、**GoogleにあなたのActive Directory環境へのアクセスを許可する必要があります**。GoogleはGCPネットワーク(**VPCコネクタ**経由)にのみアクセスできるため、コネクタを作成し、そのコネクタからADを利用可能にする必要があります。これには、GCPネットワーク内のVMに配置するか、Cloud VPNまたはCloud Interconnectを使用します。その後、ディレクトリに対する読み取りアクセスを持つアカウントの**資格情報**と、**LDAPS**経由で連絡するための**証明書**を提供する必要があります。
- **Azure Entra ID:** これを構成するには、ポップアップで表示されるGoogleの指示に従って、**読み取りアクセスを持つユーザーでAzureにログインするだけです**。GoogleはEntra IDに対する読み取りアクセスを持つトークンを保持します。
- **Active Directory:** これを設定するには、**GoogleにあなたのActive Directory環境へのアクセスを許可する必要があります**。GoogleはGCPネットワーク(**VPCコネクタ**経由)にのみアクセスできるため、コネクタを作成し、そのコネクタからADを利用可能にする必要があります。これには、GCPネットワーク内のVMに配置するか、Cloud VPNまたはCloud Interconnectを使用します。その後、ディレクトリに対する読み取りアクセスを持つアカウントの**資格情報**と、**LDAPS**経由で連絡するための**証明書**を提供する必要があります。
- **Azure Entra ID:** これを構成するには、ポップアップで表示されるGoogleによって、Entra IDサブスクリプションに対する読み取りアクセスを持つユーザーでAzureに**ログインするだけです**。GoogleはEntra IDに対する読み取りアクセスを持つトークンを保持します。
正しく構成されると、両方のオプションは**Workspaceにユーザーとグループを同期する**ことを可能にしますが、WorkspaceからADまたはEntraIDにユーザーとグループを構成することはできません。
この同期中に許可される他のオプションは次のとおりです:
- 新しいユーザーにログインするためのメールを送信
- 彼らのメールアドレスをWorkspaceで使用されているものに自動的に変更します。したがって、Workspaceが`@hacktricks.xyz`を使用し、EntraIDユーザーが`@carloshacktricks.onmicrosoft.com`を使用している場合、`@hacktricks.xyz`がアカウント内で作成されたユーザーに使用されます。
- 彼らのメールアドレスをWorkspaceで使用されているものに自動的に変更します。したがって、Workspaceが`@hacktricks.xyz`を使用し、EntraIDユーザーが`@carloshacktricks.onmicrosoft.com`を使用している場合、`@hacktricks.xyz`がアカウント作成されたユーザーに使用されます。
- 同期される**ユーザーを含むグループ**を選択します。
- 同期する**グループ**を選択し、Workspaceに作成します(またはすべてのグループを同期するように指示します)。
- Workspaceで同期および作成する**グループ**を選択する(またはすべてのグループを同期するように指示す)。
### AD/EntraID -> Google Workspace (& GCP)
ADまたはEntraIDを侵害することができれば、Google Workspaceと同期されるユーザーとグループを完全に制御できます。\
ただし、Workspaceでユーザーが使用している**パスワード**は**同じである可能性もあれば、そうでない可能性もあります**。
ADまたはEntraIDを侵害することに成功すれば、Google Workspaceと同期されるユーザーとグループを完全に制御できます。\
ただし、Workspaceでユーザーが使用している**パスワード**は**同じものである可能性もあれば、そうでない可能性もあります**。
#### ユーザーへの攻撃
同期が行われると、**ADからすべてのユーザーを同期するか、特定のOUからの同期するか、またはEntraIDの特定のグループのメンバーのみを同期する**可能性があります。これは、同期されたユーザーを攻撃するためには、まずどのユーザーが同期されているかを特定する必要があることを意味します。
同期が行われると、**ADからすべてのユーザーを同期するか、特定のOUからのユーザーのみを同期するか、またはEntraIDの特定のグループのメンバーのみを同期する**可能性があります。これは、同期されたユーザーを攻撃するためには、まずどのユーザーが同期されているかを特定する必要があることを意味します。
- ユーザーは**ADまたはEntraIDからパスワードを再利用している可能性があります**が、これは**ログインするためにユーザーのパスワードを侵害する必要がある**ことを意味します。
- ユーザーの**メール**にアクセスできる場合、既存のユーザーのWorkspaceパスワードを**変更する**か、**新しいユーザーを作成**し、それが同期されるのを待ってアカウントを設定できます。
@@ -39,18 +39,18 @@ Workspace内のユーザーにアクセスすると、デフォルトでいく
最初にどのグループが同期されているかを特定する必要があります。**すべて**のグループが同期されている可能性があります(Workspaceはこれを許可しています)。
> [!NOTE]
> グループとメンバーシップがWorkspaceにインポートされても、**ユーザー同期で同期されていないユーザーは、グループ同期中に作成されません**。たとえ彼らが同期されたグループのメンバーであってもです
> グループとメンバーシップがWorkspaceにインポートされても、**ユーザー同期で同期されていないユーザーは、同期されたグループの中にメンバーであっても作成されません**
Azureからのどのグループが**WorkspaceまたはGCPで権限を割り当てられているか**を知っていれば、侵害されたユーザー(または新しく作成されたユーザー)をそのグループに追加し、その権限を取得できます。
Azureのどのグループが**WorkspaceまたはGCPで権限を割り当てられているか**を知っていれば、侵害されたユーザー(または新しく作成されたユーザー)をそのグループに追加し、その権限を取得できます。
Workspace内の既存の特権グループを悪用する別のオプションがあります。たとえば、グループ`gcp-organization-admins@<workspace.email>`は通常、GCPに対して高い権限を持っています。
たとえば、EntraIDからWorkspaceへの同期が**インポートされたオブジェクトのドメインをWorkspaceのメールで置き換える**ように構成されている場合、攻撃者はEntraIDに`gcp-organization-admins@<entraid.email>`というグループを作成し、そのグループにユーザーを追加し、すべてのグループの同期が行われるのを待つことができます。\
たとえば、EntraIDからWorkspaceへの同期がインポートされたオブジェクトの**ドメインをWorkspaceのメールで置き換える**ように**構成されている場合**、攻撃者はEntraIDに`gcp-organization-admins@<entraid.email>`というグループを作成し、そのグループにユーザーを追加し、すべてのグループの同期が行われるのを待つことができます。\
**ユーザーはグループ`gcp-organization-admins@<workspace.email>`に追加され、GCPでの権限が昇格します。**
### Google Workspace -> AD/EntraID
Workspaceは、ユーザーとグループを同期するためにADまたはEntraIDに対する読み取り専用アクセス資格情報を必要とします。したがって、Google Workspaceを悪用してADまたはEntraIDに変更を加えることはできません。したがって、**現時点ではこれは不可能です**。
Workspaceは、ユーザーとグループを同期するためにADまたはEntraIDに対する読み取り専用アクセス権を持つ資格情報を必要とします。したがって、ADまたはEntraIDに変更を加えるためにGoogle Workspaceを悪用することはできません。したがって、**現時点ではこれは不可能です**。
また、GoogleがADの資格情報やEntraIDトークンをどこに保存しているかはわからず、**同期を再構成してもそれらを回復することはできません**(ウェブフォームには表示されず、再度提供する必要があります)。ただし、ウェブからは現在の機能を悪用して**ユーザーとグループをリストする**ことが可能かもしれません。