漏洞公开 7 小时后,谷歌修复 Gmail 主要漏洞
攻击者可能发送了模仿任何Gmail或G Suite客户的欺骗性电子邮件。
谷歌周三修补了影响Gmail和G Suite电子邮件服务器的主要安全漏洞。
该BUG可能允许威胁者发送模仿任何Gmail或G Suite客户的欺骗性电子邮件。
据安全研究员Allison Husain于四月发现此问题并向Google报告后,该BUG还使附件可以通过欺骗邮件,从而符合SPF(发件人策略框架)和 DMARC(基于域的消息身份验证,报告和遵从性)标准。这是两个最先进的电子邮件安全标准。
谷歌推迟了补丁,尽管提前了四个月
但是,尽管有137天的时间来修复所报告的问题,但最初还是将补丁推迟到了披露截止日期之后,计划在9月份的某个时候修复这个漏洞。
在Husain博客上发布有关该错误的详细信息(包括概念验证漏洞代码)之后,谷歌工程师昨天改变了主意 。
在博客发布7个小时后,谷歌告诉Husain,他们部署了缓解措施来阻止任何利用报告问题的攻击,同时等待最终的补丁在9月份部署。
事后看来,昨天的漏洞修补混乱在科技行业是司空见惯的,许多公司及其安全团队并不总是完全理解在漏洞细节公开之前不修补漏洞的严重程度和后果,这些漏洞随时可能被利用。
GMAIL(G SUITE)BUG是如何工作的
至于BUG本身,问题实际上是两个因素的结合,正如Husain在她的博客文章中所解释的那样。
第一个BUG是使攻击者可以将欺骗性电子邮件发送到Gmail和G Suite后端的电子邮件网关的BUG。
攻击者可以在Gmail和G Suite后端上运行/租用恶意电子邮件服务器,允许该电子邮件通过,然后使用第二个BUG。
第二个BUG使攻击者可以设置自定义电子邮件路由规则,以接收传入的电子邮件并将其转发,同时还使用名为“更改信封收件人”的本机Gmail / G Suite功能来欺骗任何Gmail或G Suite客户的身份。
使用此功能转发电子邮件的好处是,Gmail / G Suite还会根据SPF和DMARC安全标准验证欺骗性转发的电子邮件,从而帮助攻击者验证欺骗性邮件。有关如何合并这两个BUG的详细信息,请参见下面的Husain图。
图片: Allison Husain
Husain说:“此外,由于该消息是从Google的后端发出的,因此该消息的垃圾邮件分数也可能较低,因此应减少过滤的频率。”他还指出,这两个BUG仅是Google独有的。
如果漏洞没有得到修补,ZDNet毫无疑问会利用此漏洞利用,很可能会被垃圾邮件群,BEC骗子和恶意软件分发者广泛采用。
Google的缓解措施已部署在服务器端,这意味着Gmail和G Suite客户无需执行任何操作。
