Google veröffentlicht eine Fehlerbehebung, mit der Angreifer gefälschte E-Mails senden können
Google hat die Fehlerbehebung für Google Mail und G Suite veröffentlicht, sodass Angreifer gefälschte E-Mails wie jeder andere Google-Nutzer oder Unternehmenskunde senden können.
Der von der Sicherheitsforscherin Allison Husain entdeckte Fehler wird durch die fehlende Überprüfung bei der Konfiguration von E-Mail-Routen verursacht. “Sowohl die strengen DMARC / SPF-Richtlinien von Google Mail als auch von G Suite-Kunden können durch die Verwendung der Mail-Routing-Regeln von G Suite untergraben werden, um betrügerische Nachrichten weiterzuleiten und Authentizität zu gewähren”, sagte er.
Angreifer würden das Empfängerproblem in den E-Mail-Validierungsregeln von Google missbrauchen und ein Gateway für eingehende E-Mails verwenden, um Nachrichten aus dem Google-Backend erneut zu senden und das Vertrauen der nachgeschalteten E-Mail-Server zu gewinnen.
“Dies ist für einen Angreifer von Vorteil, wenn das Opfer, das er vortäuschen möchte, auch Google Mail oder G Suite verwendet, da die vom Google-Backend gesendete Nachricht sowohl SPF als auch DMARC weiterleitet, da ihre Domain aufgrund der Verwendung von G Suite konfiguriert ist Erlauben Sie dem Google-Backend, E-Mails von seiner Domain aus zu senden “, erklärte Husain.
“Da die Nachricht aus dem Backend von Google stammt, ist es außerdem wahrscheinlich, dass die Nachricht eine niedrigere Spam-Bewertung aufweist und daher weniger häufig gefiltert werden sollte.”
Husain meldete das Problem am 3. April 2020 an Google. Google akzeptierte dieses Problem am 16. April (wie aus dem vom Forscher veröffentlichten Offenlegungszeitplan hervorgeht) und stufte es als Fehler mit Priorität 2 und Schweregrad 2 ein und markierte es anschließend als Duplikat.
Der Forscher teilte dem Unternehmen zunächst mit, dass der Fehler am 17. August bekannt gegeben werde. Zu diesem Zeitpunkt gab Google bekannt, dass ein Fix mit einer voraussichtlichen Rollout-Zeit vom 17. September entwickelt wird.
Als das Unternehmen das von Husain gemeldete Problem 137 Tage lang nicht beheben konnte, gab der Forscher die Ergebnisse am 19. August (zwei Tage nach Bekanntgabe des Zeitplans) bekannt. Innerhalb von 7 Stunden nach dieser Veröffentlichung setzte Google “Schadensbegrenzungen ein, die auf Änderungen des Rückweges und Mechanismen zur Missbrauchsbekämpfung basieren”.