Google稍早针对Gmail和G Suite邮件系统发布修补程序,以解决一个通报137天、可被人用来发出冒名邮件的漏洞。
这项漏洞是由研究人员Allison Husain发现后向Google通报。这个漏洞发生在Google后端邮件流程规则上,造成冒名转发,再配合邮件网关的使用,使攻击者得以绕过现代邮件系统严格的SPF/ DMARC规则保护,冒充G Suite/Gmail用户发送冒名邮件给他人。
SPF(Sender Policy Framework)和DMARC(Domain-based Message Authentication, Reporting, and Conformance)的规则可防止普通冒名信件。原理是将一组域名许可的发信者IP清单交给邮件服务器比对,不在清单上的IP送出的信,包括冒名或钓鱼信件就不会被邮件服务器接收;反之合法来源送来的信就会被接受。但是研究人员发现的冒名信件攻击,却是Google环境独有。
研究人员解释,G Suite后端全局邮件流程规则(global mail routing rule)设置允许变更收信人,这让她得以指定任意收信者。而G Suite却也未验证就接受了这个收件者值。这使得攻击者得以利用Google后端将任何信件,包括冒名信件转发送去。而在收信端的邮件服务器上,来自Google(Gmail、G Suite)后台的信件,可通过SPF/DMARC规则检查而被视为合法来源的信。另外,研究人员又发现,只要转发自Gmail、G Suite的信件包含邮件网关设置,则终端邮件服务器就会自动通过SPF/DMRAC检测,确保邮件连被隔离的可能性都没有,而是会直接进入收件者信箱。
集成G Suite邮件验证规则中的收信者验证错误及信件网关,让攻击者得以让Google后端转发任何域名的信件,包括冒名邮件。而如果被冒名的人刚好也同时有用Gmail或G Suite就更好了,因为这些人的域名会设置允许Google后台转发其域名的信件,而可顺利通过SPF及DMARC的检查。另一好处是,垃圾邮件过滤引擎也往往较不会阻拦或封锁来自Gmail、G Suite的邮件
研究人员指出,Google独有的漏洞让攻击者得以发送冒名信件,就连有SPF/SMARC规则防护也会被绕过,使企业用户面临欺诈信件或商业电子邮件诈骗(Business Email Compromise,BEC)。
Husain于4月初发现该漏洞后即通报Google,但是等到8月1日却仍不见Google修补的迹象。8月中Google表示,要到9月17日才会发布修补程序。8月19日时,研究人员以超过137天为由公布漏洞。而在公布后7小时,Google就完成修补。虽然拖了4个月才完成修补,但研究人员仍然赞扬Google态度良好且动作迅速。