GWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)
GCPW - Google Credential Provider for Windows
これは、Google Workspaceが提供するシングルサインオンで、ユーザーがWorkspaceの資格情報を使用してWindows PCにログインできるようにします。さらに、これはPCのいくつかの場所にGoogle Workspaceにアクセスするためのトークンを保存します:ディスク、メモリ、レジストリ... 平文のパスワードを取得することも可能です。
WinpeasはGCPWを検出し、構成に関する情報を取得し、トークンさえも取得できることに注意してください。
この詳細については、以下を参照してください:
GCSD - Google Cloud Directory Sync
これは、アクティブディレクトリのユーザーとグループをWorkspaceに同期するために使用できるツールです(執筆時点ではその逆はできません)。
これは、Workspaceのスーパーユーザーと特権のあるADユーザーの資格情報が必要なツールであるため、ユーザーを定期的に同期しているドメインサーバー内で見つけることができるかもしれません。
WinpeasはGCDSを検出し、構成に関する情報を取得し、パスワードや暗号化された資格情報さえも取得できることに注意してください。
この詳細については、以下を参照してください:
GPS - Google Password Sync
これは、Googleが提供するバイナリおよびサービスで、ADとWorkspace間でユーザーのパスワードを同期させるためのものです。ユーザーがADでパスワードを変更するたびに、それはGoogleに設定されます。
C:\Program Files\Google\Password Syncにインストールされ、ここで設定用のバイナリPasswordSync.exeと、実行を続けるサービスpassword_sync_service.exeを見つけることができます。
WinpeasはGPSを検出し、構成に関する情報を取得し、パスワードや暗号化された資格情報さえも取得できることに注意してください。
この詳細については、以下を参照してください:
Admin Directory Sync
この方法でGCDSを使用してユーザーを同期する主な違いは、GCDSは手動でダウンロードして実行する必要があるバイナリを使用するのに対し、Admin Directory Syncはサーバーレスで、Googleによって管理されています https://admin.google.com/ac/sync/externaldirectories。
この詳細については、以下を参照してください:
Last updated
