文章提供:图文资通组
文章来源:https://www.ithome.com.tw/news/139568
发佈日期:2020.08.24 消息来源:iThome #资讯安全 #网路钓鱼 #社交工程
Google稍早针对Gmail和G Suite邮件系统释出修补程式,以解决一个通报137天、可被人用来发出冒名邮件的漏洞。
这项漏洞是由研究人员Allison Husain发现后向Google通报。这个漏洞发生在Google后端邮件流程规则上,造成冒名转发,再配合邮件闸道的使用,使攻击者得以绕过现代邮件系统严格的SPF/ DMARC规则保护,冒充G Suite/Gmail用户发送冒名邮件给他人。
SPF(Sender Policy Framework)和DMARC(Domain-based Message Authentication, Reporting, and Conformance)的规则可防止普通冒名信件。原理是将一组网域许可的发信者IP清单交给邮件伺服器比对,不在清单上的IP送出的信,包括冒名或钓鱼信件就不会被邮件伺服器接收;反之合法来源送来的信就会被接受。但是研究人员发现的冒名信件攻击,却是Google环境独有。
研究人员解释,G Suite后端全域邮件流程规则(global mail routing rule)设定允许变更收信人,这让她得以指定任意收信者。而G Suite却也未验证就接受了这个收件者值。这使得攻击者得以利用Google 后端将任何信件,包括冒名信件转寄出去。而在收信端的邮件伺服器上,来自Google(Gmail、G Suite)后臺的信件,可通过SPF/DMARC规则检查而被视为合法来源的信。另外,研究人员又发现,只要转发自Gmail、G Suite的信件包含邮件闸道设定,则终端邮件伺服器就会自动通过SPF/DMRAC检测,确保邮件连被隔离的可能性都没有,而是会直接进入收件者信箱。
整合G Suite邮件验证规则中的收信者验证错误及信件闸道,让攻击者得以让Google后端转发任何网域的信件,包括冒名邮件。而如果被冒名的人刚好也同时有用Gmail或G Suite就更好了,因为这些人的网域会设定允许Google后臺转发其网域的信件,而可顺利通过SPF及DMARC的检查。另一好处是,垃圾邮件过滤引擎也往往较不会拦阻或封锁来自Gmail、G Suite的邮件
研究人员指出,Google独有的漏洞让攻击者得以发送冒名信件,就连有SPF/SMARC规则防护也会被绕过,使企业用户面临诈欺信件或商业电子邮件诈骗(Business Email Compromise,BEC)。
Husain于4月初发现该漏洞后即通报Google,但是等到8月1日却仍不见Google修补的迹象。8月中Google表示,要到9月17日才会释出修补程式。8月19日时,研究人员以超过137天为由公布漏洞。而在公布后7小时,Google就完成修补。虽然拖了4个月才完成修补,但研究人员仍然赞扬Google态度良好且动作迅速。