Google ha mitigato un difetto di convalida nelle sue offerte G Suite e Gmail che potrebbe consentire alle e-mail dannose di aggirare anche le più rigide protezioni SPF e DMARC, ma la società non ha risolto un'altra vulnerabilità di convalida in Google Drive che potrebbe portare gli utenti a scaricare malware.
Scoperto dal ricercatore Allison Husain lo scorso 1 aprile, il difetto di G Suite / Gmail è risultato essere il risultato di un processo di verifica mancante durante la configurazione dei percorsi di posta.
Le vulnerabilità DMARC come questa sono una scoperta significativa perché senza di esse i malintenzionati possono inviare e-mail da un indirizzo contraffatto per far sembrare che provengano da un collega, capo o partner commerciale legittimo. Secondo un recente rapporto di Valimail, le entità del governo degli Stati Uniti, in particolare, sono state forti sostenitrici di DMARC , con circa tre quarti dei domini federali statunitensi salvaguardati dall'applicazione del DMARC.
Nel suo post sul blog personale , Husain ha affermato che la vulnerabilità "consente a un utente malintenzionato di inviare posta come qualsiasi altro utente o cliente di G Suite pur continuando a passare anche le regole SPF e DMARC più restrittive". Ciò include "Rifiuta", un'impostazione DMARC che dovrebbe bloccare le e-mail che vengono percepite come fraudolente in base al dominio trovato nel campo "Da".
Il difetto riguarda la funzione "Impostazioni per Gmail" nella console di amministrazione di G Suite che crea regole globali di routing della posta per le email in entrata. Una di queste regole consente agli utenti di modificare il destinatario della busta che determina "a chi deve essere inviata l'email prima che venga elaborata dal resto dell'infrastruttura di Google", ha affermato Husain.
Il ricercatore si è reso conto che i malintenzionati potevano sfruttare le impostazioni per inviare a se stessi un'e-mail dannosa e falsificata e quindi reindirizzarla a un destinatario mirato a un altro indirizzo e-mail o dominio di destinazione senza ulteriore convalida. Anche se questa tecnica da sola non funzionerebbe contro i destinatari che utilizzano il criterio DMARC "Rifiuta", Husain ha trovato un modo per aggirare questa protezione riconfigurando anche le impostazioni del "gateway in entrata" del mittente, un server attraverso il quale passa tutta la posta in arrivo.
"Ciò si traduce in un messaggio completamente illegittimo da un dominio altamente affidabile con forti configurazioni SPF e DMARC che vengono recapitate direttamente alla posta in arrivo della vittima senza alcun tipo di avviso", ha scritto Husain.
Husain ha affermato di aver segnalato privatamente il problema a Google il 3 aprile e di aver concesso all'azienda una finestra di 137 giorni per risolvere il problema. Husain ha dichiarato di aver finalmente pubblicato i suoi risultati il 19 agosto e entro sette ore Google ha emesso una serie di mitigazioni lato server, con l'intenzione di rilasciare una patch completa a settembre. Nonostante la soluzione tardiva di Google, Husain ha detto che Google era "molto chiaro che non desiderava sopprimere o limitare in alcun modo la divulgazione", aggiungendo che non ha "assolutamente alcun rancore nei confronti del team di sicurezza di Google" per la sua gestione della divulgazione della vulnerabilità.
"Questo è un bug interessante: è un errore non banale di Gmail con radici nelle impostazioni di posta elettronica di base, quindi non sorprende che Google abbia impiegato un po 'di tempo per la patch", ha affermato David "Moose" Wolpoff, CTO e co-fondatore di Randori e hacker professionista per assumere. "Ciò che è degno di nota qui è che gli avversari possono trarre vantaggio dalla confusione delle impostazioni di Gmail per manipolare le intestazioni delle e-mail e quindi aggirare i controlli di sicurezza per inviare e-mail da account diversi. Questo bug consente a un avversario di ignorare la fase di prova del dominio da cui dichiara di inviare l'email. "
"Il phishing continua a essere una spina nel fianco della sicurezza aziendale e, in questo caso, un'e-mail proveniente dal team delle risorse umane, dal CEO o da un utente autentico, probabilmente sarà efficace", ha continuato Wolpoff. "Tutta la formazione sulle risorse umane e sul phishing potrebbe essere messa in discussione. La buona notizia è che questo bug è limitato: i mittenti non possono ottenere risposte e non hanno accesso alla posta in arrivo della persona che stanno imitando. "
In altre notizie sulla vulnerabilità di Google, è stato segnalato lo scorso fine settimana che una falla di sicurezza in Google Drive potrebbe essere sfruttata nelle campagne di phishing per distribuire file dannosi che sembrano essere documenti o immagini legittimi.
Questo problema, secondo The Hacker News , riguarda la funzionalità di "gestione delle versioni" del servizio di archiviazione e sincronizzazione dei file basato su cloud che consente agli utenti di caricare diverse versioni di un file, aggiornandole secondo necessità senza dover modificare il collegamento associato.
A. Nikoci, il ricercatore che ha scoperto il difetto, ha spiegato il problema: Google Drive non convalida che le nuove versioni di un file abbiano la stessa estensione della versione precedente, il che significa che i malintenzionati possono caricare di nascosto una nuova versione che in realtà è dannosa eseguibile. Questo malware può diffondersi se il file è già stato condiviso e scaricato tra più utenti, che non si accorgeranno che nulla è cambiato in modo sospetto durante l'anteprima del file online.
Sebbene il buco di sicurezza rimanga senza patch, sembra che ci siano almeno alcune protezioni che potrebbero risparmiare gli utenti dall'infezione. Ad esempio, Google utilizza una suite di soluzioni antivirus per proteggere prodotti come Drive e i file scaricati da Google Drive utilizzano una suite di soluzioni antivirus per aiutare a mantenere prodotti come Drive liberi da malware e i file scaricati da Drive vengono scansionati per virus e malware prima dell'inizio del download, inclusi i file caricati tramite la funzione "Gestisci versioni". E quando una nuova revisione viene caricata o eliminata, Drive cambia l'icona del file se il tipo di file è cambiato.
Tuttavia, può essere un problema controverso nei momenti in cui sviluppatori e ricercatori non sono d'accordo sul fatto che un problema di sicurezza richieda una soluzione effettiva. È uno dei tanti problemi su cui le due parti occasionalmente si scontreranno.
"Un punto comune di contesa è la gravità del bug", ha affermato Brian Gorenc, direttore senior della ricerca sulle vulnerabilità e capo della Zero Day Initiative di Trend Micro. “L'abbiamo visto più volte nel nostro programma. Ad esempio, un fornitore non voleva applicare la patch a un bug perché la modalità di lettura sicura doveva essere disabilitata per poter sfruttare il bug. Non eravamo d'accordo e abbiamo pubblicato i nostri risultati. Una settimana dopo, il venditore ha reso disponibile una patch. Il rilascio di una patch è un processo costoso per un fornitore, quindi se ci sono circostanze attenuanti, possono visualizzare la gravità in modo diverso rispetto ai ricercatori. E a volte hanno ragione. "
SC Media ha contattato Google per un commento.
Il difetto post G Suite mitigato dopo la divulgazione, Google Drive ancora vulnerabile è apparso per primo su SC Media .