Google rilascia una correzione di bug che consente agli aggressori di inviare e-mail contraffatte
Google ha rilasciato la correzione del bug su Gmail e G Suite, consentendo agli aggressori di inviare e-mail contraffatte come qualsiasi altro utente Google o cliente aziendale.
Il bug, scoperto dal ricercatore di sicurezza Allison Husain, è causato dalla mancata verifica durante la configurazione dei percorsi di posta. “Sia i rigorosi criteri DMARC / SPF di Gmail sia quelli di qualsiasi cliente G Suite possono essere sovvertiti utilizzando le regole di routing della posta di G Suite per inoltrare e garantire l’autenticità ai messaggi fraudolenti”, ha affermato.
I malintenzionati abuserebbero del problema del destinatario nelle regole di convalida della posta di Google e utilizzerebbero un gateway di posta in entrata per inviare nuovamente il messaggio dal back-end di Google per ottenere la fiducia dei server di posta a valle.
“Ciò è vantaggioso per un utente malintenzionato se la vittima che intende impersonare utilizza anche Gmail o G Suite perché significa che il messaggio inviato dal backend di Google passerà sia SPF che DMARC poiché il loro dominio, per natura dell’utilizzo di G Suite, sarà configurato per consentire al back-end di Google di inviare posta dal proprio dominio “, ha spiegato Husain.
“Inoltre, poiché il messaggio proviene dal back-end di Google, è anche probabile che il messaggio abbia un punteggio di spam inferiore e quindi dovrebbe essere filtrato meno spesso”.
Husain ha segnalato il problema a Google il 3 aprile 2020. Google ha accettato questo problema il 16 aprile (come dice la cronologia di divulgazione pubblicata dal ricercatore) lo ha classificato come un bug di priorità 2, gravità 2, contrassegnandolo successivamente come duplicato.
Il ricercatore ha inizialmente comunicato all’azienda che il bug sarebbe stato rivelato il 17 agosto. Quella volta, Google ha detto che è in fase di sviluppo una correzione con un tempo stimato di lancio del 17 settembre.
Tuttavia, quando la società non è riuscita a risolvere il problema segnalato da Husain per 137 giorni, il ricercatore ha divulgato i risultati il 19 agosto (due giorni dopo la divulgazione della tempistica). Entro 7 ore dalla divulgazione, Google ha implementato “mitigazioni basate sulla modifica del percorso di ritorno e meccanismi anti-abuso”.