Разработчики Google исправили серьезную уязвимость, влиявшую на Gmail и G Suite. В сущности, проблема позволяла атакующему имитировать любого пользователя Gmail и G Suite и рассылать письма от чужого имени, обходя такие защитные механизмы как SPF (Sender Policy Framework) и DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Еще в апреле текущего года уязвимость обнаружила ИБ-специалистка Эллисон Хусейн (Allison Husain), и у компании Google было более 130 дней на исправление бага. Однако разработчики Google решили отложить релиз патча, планируя устранить проблему лишь осенью, и Хусейн решила, что ждала достаточно долго. Вчера специалистка опубликовала информацию о проблеме в своем блоге, приложив к отчету PoC-эксплоит.
Исследовательница рассказывает, что уязвимость состоит из двух частей. Первая часть проблемы — это ошибка, которая позволяет злоумышленнику отправлять фейковые письма на шлюз в бэкэнде Gmail и G Suite. Так, атакующий может запустить или арендовать вредоносный почтовый сервер в бэкэнде Gmail и G Suite, пропустить через него письмо, а затем воспользоваться второй составляющей проблемы.
Вторая часть уязвимости позволяет злоумышленнику настроить собственные правила маршрутизации, которые будут принимать входящую электронную почту и перенаправлять ее, подделывая личность любого клиента Gmail или G Suite с помощью встроенной функции Change envelope recipient. При этом переадресованное письмо проверяется на соответствие стандартам безопасности SPF и DMARC, что лишь помогает злоумышленнику подтвердить подлинность фейкового сообщения.
Хусейн продемонстрировала проблему в действии, используя свой личный домен G Suite и выдав себя за not_malicious_security_research@google.com.
«Кроме того, есть вероятность, что такие сообщения будут иметь более низкий спам-рейтинг, так как они исходят от бэкэнда Google, а значит, фильтры будут реагировать на такие сообщения реже», — отмечает Хусейн.
Спустя всего семь часов после раскрытия информации об уязвимость инженеры Google сообщили, что приняли все необходимые меры для предотвращения возможных атак, так что теперь запланированного на сентябрь патча можно дожидаться спокойно.