GWS - Admin Directory Sync

Reading time: 5 minutes

Grundlegende Informationen

Der Hauptunterschied zwischen dieser Methode zur Synchronisierung von Benutzern mit GCDS besteht darin, dass GCDS manuell mit einigen Binärdateien durchgeführt wird, die Sie herunterladen und ausführen müssen, während Admin Directory Sync serverlos von Google in https://admin.google.com/ac/sync/externaldirectories verwaltet wird.

Zum Zeitpunkt des Schreibens ist dieser Dienst in der Beta-Phase und unterstützt 2 Arten der Synchronisierung: Von Active Directory und von Azure Entra ID:

• Active Directory: Um dies einzurichten, müssen Sie Google Zugriff auf Ihre Active Directory-Umgebung gewähren. Da Google nur Zugriff auf GCP-Netzwerke (über VPC-Connectoren) hat, müssen Sie einen Connector erstellen und dann Ihr AD über diesen Connector verfügbar machen, indem Sie es in VMs im GCP-Netzwerk haben oder Cloud VPN oder Cloud Interconnect verwenden. Dann müssen Sie auch Anmeldeinformationen eines Kontos mit Lesezugriff auf das Verzeichnis und ein Zertifikat bereitstellen, um über LDAPS zu kommunizieren.
• Azure Entra ID: Um dies zu konfigurieren, müssen Sie sich einfach mit einem Benutzer mit Lesezugriff über das Entra ID-Abonnement in einem von Google angezeigten Pop-up bei Azure anmelden, und Google wird das Token mit Lesezugriff über Entra ID speichern.

Sobald korrekt konfiguriert, ermöglichen beide Optionen die Synchronisierung von Benutzern und Gruppen mit Workspace, jedoch nicht die Konfiguration von Benutzern und Gruppen von Workspace zu AD oder EntraID.

Weitere Optionen, die während dieser Synchronisierung ermöglicht werden, sind:

• Senden Sie eine E-Mail an die neuen Benutzer, um sich anzumelden
• Ändern Sie automatisch ihre E-Mail-Adresse in die von Workspace verwendete. Wenn Workspace also @hacktricks.xyz verwendet und EntraID-Benutzer @carloshacktricks.onmicrosoft.com verwenden, wird @hacktricks.xyz für die im Konto erstellten Benutzer verwendet.
• Wählen Sie die Gruppen aus, die die Benutzer enthalten, die synchronisiert werden sollen.
• Wählen Sie Gruppen aus, die synchronisiert und in Workspace erstellt werden sollen (oder geben Sie an, alle Gruppen zu synchronisieren).

Von AD/EntraID -> Google Workspace (& GCP)

Wenn es Ihnen gelingt, ein AD oder EntraID zu kompromittieren, haben Sie die volle Kontrolle über die Benutzer und Gruppen, die mit Google Workspace synchronisiert werden.
Beachten Sie jedoch, dass die Passwörter, die die Benutzer möglicherweise in Workspace verwenden, die gleichen oder unterschiedliche sein könnten.

Angreifen von Benutzern

Wenn die Synchronisierung erfolgt, kann sie alle Benutzer aus AD oder nur die aus einer bestimmten OU oder nur die Benutzer, die Mitglieder bestimmter Gruppen in EntraID sind, synchronisieren. Das bedeutet, dass Sie, um einen synchronisierten Benutzer anzugreifen (oder einen neuen zu erstellen, der synchronisiert wird), zuerst herausfinden müssen, welche Benutzer synchronisiert werden.

• Benutzer könnten das Passwort von AD oder EntraID wiederverwenden oder nicht, aber das bedeutet, dass Sie die Passwörter der Benutzer kompromittieren müssen, um sich anzumelden.
• Wenn Sie Zugriff auf die E-Mails der Benutzer haben, könnten Sie das Workspace-Passwort eines vorhandenen Benutzers ändern oder einen neuen Benutzer erstellen, warten, bis er synchronisiert wird, und das Konto einrichten.

Sobald Sie auf den Benutzer in Workspace zugreifen, könnten ihm standardmäßig einige Berechtigungen gewährt werden.

Angreifen von Gruppen

Sie müssen auch zuerst herausfinden, welche Gruppen synchronisiert werden. Obwohl die Möglichkeit besteht, dass ALLE Gruppen synchronisiert werden (da Workspace dies zulässt).

Wenn Sie wissen, welche Gruppen aus Azure in Workspace oder GCP Berechtigungen zugewiesen bekommen, könnten Sie einfach einen kompromittierten Benutzer (oder neu erstellten) in diese Gruppe hinzufügen und diese Berechtigungen erhalten.

Es gibt eine weitere Möglichkeit, bestehende privilegierte Gruppen in Workspace auszunutzen. Zum Beispiel hat die Gruppe gcp-organization-admins@<workspace.email> normalerweise hohe Berechtigungen über GCP.

Wenn die Synchronisierung von beispielsweise EntraID zu Workspace so konfiguriert ist, dass die Domain des importierten Objekts mit der E-Mail von Workspace ersetzt wird, wird es einem Angreifer möglich sein, die Gruppe gcp-organization-admins@<entraid.email> in EntraID zu erstellen, einen Benutzer in dieser Gruppe hinzuzufügen und zu warten, bis die Synchronisierung aller Gruppen erfolgt.
Der Benutzer wird der Gruppe gcp-organization-admins@<workspace.email> hinzugefügt, wodurch die Berechtigungen in GCP eskaliert werden.

Von Google Workspace -> AD/EntraID

Beachten Sie, dass Workspace Anmeldeinformationen mit nur Lesezugriff auf AD oder EntraID benötigt, um Benutzer und Gruppen zu synchronisieren. Daher ist es nicht möglich, Google Workspace auszunutzen, um Änderungen in AD oder EntraID vorzunehmen. Das ist derzeit nicht möglich.

Ich weiß auch nicht, wo Google die AD-Anmeldeinformationen oder das EntraID-Token speichert, und Sie können sie nicht wiederherstellen, indem Sie die Synchronisierung neu konfigurieren (sie erscheinen nicht im Webformular, Sie müssen sie erneut angeben). Es könnte jedoch möglich sein, die aktuelle Funktionalität über das Web auszunutzen, um Benutzer und Gruppen aufzulisten.