谷歌周三修补了影响Gmail和G Suite电子邮件服务器的一个重大安全漏洞。
该漏洞可能会让威胁行为人发送伪造的电子邮件,模仿任何Gmail或G Suite客户。
安全研究人员艾莉森·侯赛因(Allison Husain)在4月份发现并向谷歌报告了这个问题,他表示,该漏洞还允许攻击者传递欺骗电子邮件,称其符合两个最先进的电子邮件安全标准:ASPF(发件人策略框架)和DMARC(基于域的消息验证、报告和一致性)。
然而,尽管谷歌有137天的时间来修复报告的问题,但最初还是将补丁推迟到了披露截止日期之后,计划在9月份的某个时候修复这个漏洞。
昨天,在Husain在她的博客上发布了有关该漏洞的细节,包括概念验证利用代码后,谷歌工程师改变了主意。
在博客帖子上线七个小时后,谷歌告诉Husain,他们部署了缓解措施,以阻止任何利用报告的问题进行的攻击,同时他们等待9月份部署最终的补丁。
事后看来,昨天的漏洞修补混乱在科技行业是司空见惯的,许多公司及其安全团队并不总是完全了解在漏洞细节公开之前不修补漏洞的严重性和后果,这些漏洞随时可能被利用。
至于漏洞本身,正如侯赛因在她的博客文章中解释的那样,这个问题实际上是两个因素的结合。
第一个漏洞允许攻击者向Gmail和G Suite后端的电子邮件网关发送伪造的电子邮件。
攻击者可以在Gmail和G Suite后端运行/租用恶意电子邮件服务器,允许此电子邮件通过,然后使用第二个漏洞。
第二个漏洞允许攻击者设置自定义电子邮件路由规则,接收并转发传入的电子邮件,同时还使用名为“更改信封收件人”的本地Gmail/G Suite功能欺骗任何Gmail或G Suite客户的身份。";
使用此功能转发电子邮件的好处是,Gmail/G Suite还根据SPF和DMARC安全标准验证被欺骗的转发电子邮件,帮助攻击者验证被欺骗的消息。请看下面侯赛因的图表,了解这两个错误是如何组合在一起的。
此外,侯赛因说,由于这条消息来自谷歌的后端,因此垃圾邮件分值也很可能较低,因此应该减少过滤频率。他同时指出,这两个漏洞只是谷歌独有的。
如果没有修补这个漏洞,ZDNet毫无疑问,这个漏洞很可能会被电子邮件垃圾邮件组织、BEC诈骗者和恶意软件分销商广泛采用。
谷歌的缓解措施已经部署在服务器端,这意味着Gmail和G Suite客户不需要做任何事情。