Google lanza una corrección de error que permite a los atacantes enviar correos electrónicos falsificados
Google lanzó la solución del error en Gmail y G Suite, lo que permite a los atacantes enviar correos electrónicos falsificados como cualquier otro usuario de Google o cliente empresarial.
El error, descubierto por la investigadora de seguridad Allison Husain, se debe a la falta de verificación al configurar las rutas de correo. “Tanto la política estricta de DMARC / SPF de Gmail como de cualquier cliente de G Suite pueden ser subvertidas mediante el uso de las reglas de enrutamiento de correo de G Suite para transmitir y otorgar autenticidad a los mensajes fraudulentos”, dijo.
Los atacantes abusarían del problema del destinatario en las reglas de validación de correo de Google y usarían una puerta de enlace de correo electrónico entrante para reenviar el mensaje desde el backend de Google y ganarse la confianza de los servidores de correo descendentes.
“Esto es ventajoso para un atacante si la víctima a la que pretende suplantar también usa Gmail o G Suite porque significa que el mensaje enviado por el backend de Google pasará tanto SPF como DMARC, ya que su dominio, por la naturaleza del uso de G Suite, estará configurado para permitir que el backend de Google envíe correo desde su dominio “, explicó Husain.
“Además, dado que el mensaje se origina en el backend de Google, también es probable que el mensaje tenga una puntuación de spam más baja y, por lo tanto, se deba filtrar con menos frecuencia”.
Husain informó el problema a Google el 3 de abril de 2020. Google aceptó este problema el 16 de abril (como dice el cronograma de divulgación publicado por el investigador) lo clasificó como un error de prioridad 2, gravedad 2, y posteriormente lo marcó como duplicado.
El investigador notificó inicialmente a la compañía que el error se revelaría el 17 de agosto. En ese momento, Google dijo que se estaba desarrollando una solución con un tiempo estimado de implementación del 17 de septiembre.
Sin embargo, cuando la empresa no solucionó el problema informado por Husain durante 137 días, el investigador reveló los hallazgos el 19 de agosto (dos días después de la divulgación del cronograma). Dentro de las 7 horas posteriores a esta divulgación, Google implementó “mitigaciones basadas en la modificación de la ruta de retorno y los mecanismos contra el abuso”.