O Google corrige bug crítico do Gmail sete horas depois que dados de exploração tornam-se públicos

Os invasores podem ter enviado e-mails falsos imitando qualquer cliente do Gmail ou G Suite.

O Google corrigiu na quarta-feira um grande bug de segurança que estava afetando os servidores de e-mail do Gmail e do G Suite.

O bug pode ter permitido que um agente de ameaça enviasse e-mails falsos imitando qualquer cliente do Gmail ou G Suite.

De acordo com a pesquisadora de segurança Allison Husain, que encontrou e relatou esse problema ao Google em abril, o bug também permitiu que os anexos passassem os e-mails falsificados como compatíveis com  SPF  (Sender Policy Framework) e  DMARC  (Domain-based Message Authentication, Reporting, and Conformance ), dois dos padrões de segurança de e-mail mais avançados.

O GOOGLE ATRASOU OS PATCHES, APESAR DE QUATRO MESES DE ALERTA

No entanto, apesar de ter 137 dias para corrigir o problema relatado, o Google inicialmente adiou os patches além do prazo de divulgação, planejando corrigir o bug em setembro.

Os engenheiros do Google mudaram de ideia ontem depois que Husain  publicou detalhes sobre o bug em seu blog , incluindo código de exploração de prova de conceito.

Sete horas depois que a postagem do blog foi ao ar, o Google disse a Husain que implantou medidas de mitigação para bloquear qualquer ataque que alavancasse o problema relatado, enquanto espera pelos patches finais para implantar em setembro.

Em retrospectiva, a confusão de patch de bug de ontem é uma ocorrência comum na indústria de tecnologia, onde muitas empresas e suas equipes de segurança nem sempre entendem totalmente a gravidade e as repercussões de não corrigir uma vulnerabilidade até que os detalhes sobre esse bug se tornem públicos, e eles ficarão para ser explorado.

Quanto ao bug em si, o problema é na verdade uma combinação de dois fatores, como Husain explica em sua postagem no blog.

O primeiro é um bug que permite que um invasor envie e-mails falsificados para um gateway de e-mail no back-end do Gmail e do G Suite.

O invasor pode executar / alugar um servidor de e-mail malicioso no back-end do Gmail e do G Suite, permitir a passagem deste e-mail e usar o segundo bug.

Este segundo bug permite que o invasor configure regras de roteamento de e-mail personalizadas que pegam e-mails recebidos e os encaminham, enquanto também falsificam a identidade de qualquer cliente do Gmail ou G Suite usando um recurso nativo do Gmail / G Suite chamado “Alterar destinatário do envelope”

A vantagem de usar esse recurso para encaminhar e-mails é que o Gmail / G Suite também valida o e-mail encaminhado falsificado em relação aos padrões de segurança SPF e DMARC, ajudando os invasores a autenticar a mensagem falsificada. Veja o gráfico de Husain abaixo para uma análise de como os dois bugs podem ser combinados.

gmail-bug.png
Imagem: Allison Husain

“Além disso, como a mensagem é proveniente do back-end do Google, também é provável que a mensagem tenha uma pontuação de spam menor e, portanto, deva ser filtrada com menos frequência”, disse Husain, ao mesmo tempo que apontou que os dois bugs são exclusivos do Google apenas .

Se o bug não tivesse sido corrigido, a ZDNet não tinha dúvidas de que a exploração provavelmente teria sido amplamente adotada por grupos de spam de e-mail, golpistas de BEC e distribuidores de malware.https://platform.twitter.com/embed/index.html?creatorScreenName=ZDNet&dnt=false&embedId=twitter-widget-0&frame=false&hideCard=false&hideThread=true&id=1296456722962415617&lang=en&origin=https%3A%2F%2Fwww.zdnet.com%2Farticle%2Fgoogle-fixes-major-gmail-bug-seven-hours-after-exploit-details-go-public%2F&siteScreenName=ZDNet&theme=light&widgetsVersion=223fc1c4%3A1596143124634&width=550px

As atenuações do Google foram implantadas no servidor, o que significa que os clientes do Gmail e do G Suite não precisam fazer nada.

timeline.png

Fonte: https://www.zdnet.com/article/google-fixes-major-gmail-bug-seven-hours-after-exploit-details-go-public/