漏洞公開 7 小時后,谷歌修復 Gmail 主要漏洞
攻擊者可能發送了模仿任何Gmail或G Suite客戶的欺騙性電子郵件。
谷歌周三修補了影響Gmail和G Suite電子郵件服務器的主要安全漏洞。
該BUG可能允許威脅者發送模仿任何Gmail或G Suite客戶的欺騙性電子郵件。
據安全研究員Allison Husain于四月發現此問題并向Google報告后,該BUG還使附件可以通過欺騙郵件,從而符合SPF(發件人策略框架)和 DMARC(基于域的消息身份驗證,報告和遵從性)標準。這是兩個最先進的電子郵件安全標準。
谷歌推遲了補丁,盡管提前了四個月
但是,盡管有137天的時間來修復所報告的問題,但最初還是將補丁推遲到了披露截止日期之后,計劃在9月份的某個時候修復這個漏洞。
在Husain博客上發布有關該錯誤的詳細信息(包括概念驗證漏洞代碼)之后,谷歌工程師昨天改變了主意 。
在博客發布7個小時后,谷歌告訴Husain,他們部署了緩解措施來阻止任何利用報告問題的攻擊,同時等待最終的補丁在9月份部署。
事后看來,昨天的漏洞修補混亂在科技行業是司空見慣的,許多公司及其安全團隊并不總是完全理解在漏洞細節公開之前不修補漏洞的嚴重程度和后果,這些漏洞隨時可能被利用。
GMAIL(G SUITE)BUG是如何工作的
至于BUG本身,問題實際上是兩個因素的結合,正如Husain在她的博客文章中所解釋的那樣。
第一個BUG是使攻擊者可以將欺騙性電子郵件發送到Gmail和G Suite后端的電子郵件網關的BUG。
攻擊者可以在Gmail和G Suite后端上運行/租用惡意電子郵件服務器,允許該電子郵件通過,然后使用第二個BUG。
第二個BUG使攻擊者可以設置自定義電子郵件路由規則,以接收傳入的電子郵件并將其轉發,同時還使用名為“更改信封收件人”的本機Gmail / G Suite功能來欺騙任何Gmail或G Suite客戶的身份。
使用此功能轉發電子郵件的好處是,Gmail / G Suite還會根據SPF和DMARC安全標準驗證欺騙性轉發的電子郵件,從而幫助攻擊者驗證欺騙性郵件。有關如何合并這兩個BUG的詳細信息,請參見下面的Husain圖。
圖片: Allison Husain
Husain說:“此外,由于該消息是從Google的后端發出的,因此該消息的垃圾郵件分數也可能較低,因此應減少過濾的頻率。”他還指出,這兩個BUG僅是Google獨有的。
如果漏洞沒有得到修補,ZDNet毫無疑問會利用此漏洞利用,很可能會被垃圾郵件群,BEC騙子和惡意軟件分發者廣泛采用。
Google的緩解措施已部署在服務器端,這意味著Gmail和G Suite客戶無需執行任何操作。
