Google publie une correction d’un bug permettant aux attaquants d’envoyer des e-mails falsifiés
Google a publié le correctif du bogue sur Gmail et G Suite, permettant aux attaquants d’envoyer des e-mails falsifiés comme n’importe quel autre utilisateur de Google ou client d’entreprise.
Le bogue, découvert par la chercheuse en sécurité Allison Husain, est dû à une vérification manquante lors de la configuration des routes de messagerie. “La politique stricte DMARC / SPF de Gmail et de tout client G Suite peut être contournée en utilisant les règles de routage des e-mails de G Suite pour relayer et garantir l’authenticité des messages frauduleux”, a-t-il déclaré.
Les attaquants abuseraient du problème du destinataire dans les règles de validation des e-mails de Google et utiliseraient une passerelle de messagerie entrante pour renvoyer le message depuis le backend de Google afin de gagner la confiance des serveurs de messagerie en aval.
“Ceci est avantageux pour un attaquant si la victime dont il a l’intention d’usurper l’identité utilise également Gmail ou G Suite, car cela signifie que le message envoyé par le backend de Google passera à la fois SPF et DMARC car leur domaine sera, par nature, en utilisant G Suite, configuré pour autoriser le backend de Google à envoyer des e-mails depuis son domaine “, a expliqué Husain.
“De plus, comme le message provient du backend de Google, il est également probable que le message aura un score de spam inférieur et devrait donc être filtré moins souvent.”
Husain a signalé le problème à Google le 3 avril 2020. Google a accepté ce problème le 16 avril (comme l’indique le calendrier de divulgation publié par le chercheur) l’a classé comme un bogue de priorité 2, gravité 2, le marquant ensuite comme un double.
Le chercheur a initialement informé la société que le bogue serait divulgué le 17 août. Cette fois, Google a déclaré qu’un correctif était en cours de développement avec une date de déploiement estimée au 17 septembre.
Cependant, lorsque la société n’a pas réussi à résoudre le problème signalé par Husain pendant 137 jours, le chercheur a divulgué les résultats le 19 août (deux jours après la divulgation du calendrier). Dans les 7 heures suivant cette divulgation, Google a déployé des «mesures d’atténuation basées sur la modification du chemin de retour et des mécanismes anti-abus».