Threats

Google corrige bug de segurança que impactou Gmail e G Suite

Apesar de ter conhecimento da falha de segurança há alguns meses, a Google só terá corrigido o bug depois de ter sido tornado público e incluir um proof-of-concept

21/08/2020

Google corrige bug de segurança que impactou Gmail e G Suite

A Google corrigiu esta semana um bug de segurança que afetava os servidores do Gmail e do G Suite. Na prática, o bug poderia permitir enviar spoofed emails que imitavam qualquer cliente dos dois serviços indicados.

Allison Husain foi a investigadora que encontrou e reportou o problema à Google em abril. No entanto, a empresa foi adiando os patches de segurança necessários, tendo como plano lançar o fix algures em setembro.

Explica a ZDNet que Husain acabou por publicar os detalhes do bug no seu blog, incluindo código exploit proof-of-concept. Cerca de sete horas depois da publicação, a Google informou a investigadora que lançou as mitigações para bloquear ataques que envolvam o bug reportado. O patch final, no entanto, só será introduzido em setembro.

Como funcionava o bug do Gmail ?

Quanto ao bug em si, o problema é na verdade uma combinação de dois fatores; o primeiro é um bug que permite que um intruso envie emails falsificados para um gateway de email no back-end do Gmail e do G Suite. O intruso pode usar um servidor de e-mail malicioso no back-end do Gmail e do G Suite, permitir a passagem deste e-mail e usar então o segundo bug.

Este segundo bug permite que o atacante configure regras de routing de e-mail que usam um e-mail recebido e o encaminha, enquanto também falsifica a identidade de qualquer utilizador do Gmail ou G Suite ao usar um recurso nativo do Gmail designado "Alterar destinatário do envelope".

A vantagem de usar esse recurso para encaminhar e-mails é que o Gmail também valida o falso e-mail encaminhado de acordo com os padrões de segurança SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting & Conformance), ajudando assim os hackers a autenticar a mensagem falsificada que em tudo é similar a uma genuína.

 

Imagem publicada por Allison Husain no seu blog

"Além disso, como a mensagem é proveniente do back-end do Google, também é provável que a mensagem tenha uma pontuação de spam menor e, portanto, deva ser filtrada com menos frequência", disse Husain, afirmando também que os dois bugs são exclusivos do Google e não de outros serviços de e-mail.

As medidas de mitigação do problema foram implementadas diretamente nos servidores da Google, não sendo assim necessária nenhuma acção por parte dos utilizadores.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.