在一个影响Gmail和G Suite产品的电子邮件欺骗漏洞被公开披露数个小时后,谷歌就修复了该漏洞,但是该IT巨头自4月份以来就已得知该漏洞。
周三,研究人员Allison Husain在一篇文章中公布了该电子邮件欺骗漏洞的技术详情和PoC代码。
该漏洞源于在配置邮件路由时缺少验证。攻击者可利用该漏洞假冒Gmail或G Suite用户发送电子邮件,该邮件可绕过发送方策略框架(SPF)和基于域的消息身份认证、报告和一致性(DMARC)等保护机制。
“由于在配置邮件路由时缺少验证,通过使用G Suite的邮件路由规则来中继和授予欺诈消息真实性,Gmail和任何G Suite客户严格的DMARC/SPF策略都可能被颠覆。”该文章指出。“该漏洞只影响了谷歌,攻击者可利用该漏洞绕过甚至是最严格的SPF和DMARC规则,以任意用户或G Suite客户身份发送电子邮件。”
根据Husain的说法,在传统的电子邮件欺骗中,From头被赋予一个任意值,与传统的电子邮件欺骗不同,使用SPF和DMARC的邮件服务器无法阻止该技术。
该名研究人员使用自己的G Suite域,向与不受她控制的某个域关联的一个G Suite邮件账户发送一封看似来自一个@google.com地址的邮件。
“我使用我个人的G Suite域([email protected])从一个google.com地址向我的大学的G Suite邮件地址发送一封表面上看似合法的电子邮件,大学的G Suite邮件地址位于某个不受我控制的域上。”该名安全专家继续说到,“我选择发给另一个G Suite账户,以演示谷歌强大的邮件过滤和反垃圾邮件技术没有阻止或检测到该攻击。另外,我选择假冒google.com,因为他们的DMARC策略被设置成p=reject,因此任何违反SPF的行为(无论该SPF策略如何)都应导致该消息在偏见下被丢弃。”
该攻击利用了一个与G Suite的邮件路由规则相关的漏洞,攻击者可能已经颠覆该规则,中继并授予欺诈消息真实性。
Husain于4月3日向谷歌报告了该漏洞,谷歌于4月16日承认了该漏洞,并于2020年4月21日将该漏洞标记为重复报告。
8月1日,Husain通知谷歌,她打算公开披露该漏洞,并将披露日期设置为8月17日(16天后)。
8月14日,谷歌告诉她,将会在9月17日发布一个补丁,但是Husain 8月19日公开披露了该漏洞。
好消息是谷歌在该漏洞详情公开七个小时后修复了该漏洞。
———————————————————————————————————–
消息来源Security Affairs;转载请注明出处。
关注群智分析平台公众号,获取资讯《安全专家披露IBM Db2数据管理软件中的安全漏洞》和《CVE-2020-3446超危漏洞致使思科ENCS和CSP设备暴露在攻击风险之中》。
来源:freebuf.com 2020-08-21 15:32:15 by: 偶然路过的围观群众
请登录后发表评论
注册