Компания Google исправила опасную уязвимость в почтовых серверах Gmail и G Suite через 7 часов после того, как был опубликован PoC-код для ее эксплуатации. Проблема позволяла злоумышленнику отправлять поддельные электронные письма от имени любого клиента Gmail или G Suite.
По словам исследовательницы безопасности Эллисон Хусейн (Allison Husain), которая обнаружила и сообщила об этой проблеме в Google еще в апреле нынешнего года, уязвимость также позволяла передавать поддельные электронные письма в соответствии со стандартами безопасности электронной почты SPF (Sender Policy Framework) и DMARC (Domain-based Message Authentication, Reporting, and Conformance).
У Google было 137 дней на устранение обнаруженной проблемы, однако техногигант отложил выпуск исправлений до истечения срока раскрытия информации, планируя устранить уязвимость в сентябре.
Специалисты Google изменили свои намерения после того, как Хусейн опубликовала подробности об уязвимости в своем блоге, включая PoC-код для ее эксплуатации. Через семь часов после данной публикации Google сообщила исследовательнице, что уже разработаны меры по предотвращению эксплуатации уязвимости, а исправления будут готовы к выпуску в сентябре.
Как пояснила Хуссейн, проблема на самом деле является комбинацией двух факторов. Первая — проблема, позволяющая злоумышленнику отправлять поддельные электронные письма на шлюз электронной почты в серверной части Gmail и G Suite. Преступник может запустить/арендовать вредоносный почтовый сервер на Gmail и G Suite, разрешить это письмо и затем использовать вторую уязвимость.
Вторая проблема позволяет злоумышленнику настроить собственные правила маршрутизации электронной почты, которые принимают входящую электронную почту и пересылают ее, а также подменяют личность любого клиента Gmail или G Suite с помощью встроенной функции под названием «Изменить получателя конверта».
Преимущество использования этой функции для пересылки электронных писем заключается в том, что Gmail/G Suite также проверяет поддельное переадресованное письмо на соответствие стандартам безопасности SPF и DMARC, помогая злоумышленникам аутентифицировать вредоносное сообщение.