Problemas na Obrigatoriedade de 2FA para Administradores do Google Workspace
Blog atualizado em 15 de julho de 2024:
Atualizamos o nosso blog post sobre a questão da obrigatoriedade de MFA aplicada por unidade organizacional (OU), tendo em vista que em 12 de julho de 2024, a equipe de engenharia do Google indicou que havia resolvido o problema. No entanto, recomendamos que faça sua devida diligência para validar e confirmar que a política de aplicação de MFA do seu Google Workspace está operando conforme esperado.
Se a sua conta do Google Workspace passou pela obrigatoriedade de MFA do Google para administradores e você está usando a política de MFA aplicada por unidade organizacional (OU), a sua configuração de MFA pode não estar funcionando corretamente.
Recentemente, o Google, em um esforço para melhorar a segurança de seus usuários, seguiu os passos do GitHub e divulgou que todos os administradores do Google Workspace terão a autenticação de múltiplos fatores (MFA) ativada de forma obrigatória. No nosso caso, essa mudança foi aplicada a partir de 3 de julho.
JJá tínhamos uma política por unidade organizacional (OU) que força o uso de MFA para todos os usuários, incluindo administradores. Portanto, quando recebemos o e-mail informando que o MFA se tornaria obrigatório, esperávamos que não houvesse nenhuma mudança em nosso ambiente. No entanto, parece que essa implementação não foi bem conduzida, pois identificamos que nossas políticas de MFA foram afetadas em nosso ambiente.
Na Tenchi, usamos o Zanshin, nossa solução SaaS de gestão de riscos cibernéticos de terceiros, para escanear nosso ambiente e ser transparentes com todos os nossos clientes sobre nossos controles de segurança. A grande surpresa foi que, na última quinta-feira (4 de julho de 2024), o Zanshin, após a verificação diária, nos alertou que não tínhamos o MFA “forçado” para os administradores do Google Workspace.
Ao analisar o alerta, verificamos que a OU à qual esse usuário pertencia forçava o uso de MFA:
E aqui que está o problema, quando o mesmo usuário acessou seu próprio perfil, o Google Workspace indicou que a verificação MFA não era obrigatória para ele:
Confirmamos então que a verificação em duas etapas podia ser desativada para esse usuário nas configurações de perfil do próprio usuário – mesmo quando a configuração aplicada por unidade organizacional (OU) dizia que isso não seria possível.
Ficamos incomodados com essa situação e começamos a nos questionar se nossos clientes também tinham sido afetados. Em nosso ambiente de teste, que ainda não foi atualizado, pudemos confirmar que a obrigatoriedade de MFA ainda funciona conforme o esperado sob as mesmas condições (imposição de MFA aplicada por unidade organizacional (OU)), então parece que essa mudança ainda não foi implementada em todas as organizações.
Após verificarmos o problema em nosso ambiente, entramos em contato com a equipe de suporte do Google e apresentamos nossas evidências. Eles realizaram testes internos e confirmaram o problema. Também fomos informados que a questão foi escalada para a equipe de engenharia.
A equipe do Google resolveu o problema em 12 de julho de 2024. No entanto, recomendamos que você realize verificações regulares para garantir que todas as suas contas de administrador tenham a autenticação de dois fatores aprovada pela organização ativada.
Estamos entusiasmados por saber que o Zanshin foi, até onde sabemos, um dos primeiros (se não o primeiro) a detectar esse problema. Monitorar seu próprio ambiente e o de terceiros é crucial em cadeias de suprimentos altamente conectadas. Embora não seja uma falha de segurança crítica, isso demonstra o valor do monitoramento baseado em dados e evidências na detecção e mitigação direta de riscos.
Referências:
https://www.linkedin.com/posts/sieira_2fa-saas-security-activity-7216144640066932736-46vN
https://support.google.com/a/answer/175197#2SV
Nota: este blog post foi atualizado para refletir a correção implementada pela equipe do Google em 12 de julho de 2024.