Google fixt Gmail-Spoofing-Schwachstelle

[English]In Googles E-Mail-Dienst Gmail gab es eine fette Spoofing-Schwachstelle, mit der Mails über fremde Konten hätten verschickt werden können. Google hat diese Schwachstelle nun beseitigt, nachdem ein Exploit öffentlich wurde.


Anzeige

Die Sicherheitsforscherin Allison Husain stieß auf Problem und hat es in diesem Blog-Beitrag dokumentiert. Aufgrund fehlender Verifizierung bei der Konfiguration von Mail-Routen kann sowohl die strenge DMARC/SPF-Richtlinie von Google Mail als auch die strenge DMARC/SPF-Richtlinie jedes Kunden der G Suite unterlaufen werden. Dazu können die Mail-Routing-Regeln der G Suite verwendet werden, um betrügerische Nachrichten weiterzuleiten und ihnen Authentizität zu verleihen.

Dies ist insbesondere nicht dasselbe wie das klassische Mail-Spoofing von früher, bei dem dem From-Header ein willkürlicher Wert zugewiesen wird, eine Technik, die von Mail-Servern mit Hilfe des Sender Policy Framework (SPF) und der domänenbasierten Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC) leicht blockiert werden kann. Bei diesem Problem handelt es sich um einen einzigartigen Fehler im in Google-Mail-System, der es einem Angreifer ermöglicht, E-Mails wie jeder andere Benutzer oder Kunde der G Suite zu versenden und dabei selbst die restriktivsten SPF- und DMARC-Regeln einzuhalten.

Allison Husain entdeckte den Bug am 1. April 2020 und meldete diesen am 3. April 2020 an Google. Google bestätigte das Problem, stuft es als Fehler der Priorität 2, Schweregrad 2, ein, änderte aber nichts. Dann hat Allison Husain die Schwachstelle samt Proof of Concept (PoC) in ihrem Blog veröffentlicht. Sieben Stunden später war die Schwachstelle dann von Google gepatcht, wie die Sicherheitsforscherin schreibt. ZDnet.com hat diesen Beitrag zum Thema veröffentlicht. Ein deutschsprachiger Beitrag zum Thema findet sich hier bei heise.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.