Corregido error importante en Gmail tras hacerse públicos los detalles y una PoC

El fallo de seguridad en Gmail y G Suite permitiría el envío de correos electrónicos falsificando el remitente.

El pasado miércoles Google reparó un importante fallo de seguridad en los servidores de correo electrónico de Gmail y G Suite (un servicio de Google que proporciona varios productos de Google con un nombre de dominio personalizado por el cliente), que podría ser utilizado para enviar correos electrónicos falsificados suplantando a cualquier cliente de Gmail o G Suite, eludiendo protecciones como el marco de políticas del remitente (SPF por sus siglas en inglés ‘Sender Policy Framework’) y el sistema de autenticación de mensajes, informes y conformidad basado en dominios (DMARC por su siglas en inglés ‘Domain-based Message Authentication Reporting and Conformance’) que conforman dos de los estándares de seguridad de correo electrónico más avanzados.

La vulnerabilidad, descubierta por la investigadora de seguridad Allison Husain, consiste en una combinación de 2 factores. El primero es un error que permitiría el envío de correos electrónicos falsificados a una puerta de enlace de correo electrónico en el backend de Gmail y G Suite. El segundo de ellos permitiría configurar reglas de enrutamiento de correo electrónico personalizadas que toman un correo electrónico entrante y lo reenvían, al mismo tiempo que falsifican la identidad de cualquier cliente de Gmail o G Suite mediante una función nativa de Gmail / G Suite llamada «Change envelope recipient».

La ventaja de utilizar esta función para reenviar correos electrónicos es que, como Gmail y G Suite también validan el correo electrónico reenviado falsificado según los estándares de seguridad SPF y DMARC, contribuye a autenticar el mensaje falsificado. Además, según declaraciones de Husain, dado que el mensaje se origina en el backend de Google también es probable que tenga una puntuación de spam más baja y, por lo tanto, sería filtrado con menos frecuencia por los sistemas anti-spam.

1
Diagrama del ataque. Fuente: ezh.es

A pesar de que Husein reportó el fallo de seguridad a Google el pasado mes de abril, en la hoja de ruta del gigante de Mountain View no estaba previsto solventar el problema hasta mediados del mes de septiembre. Sin embargo, apenas unas horas después de que la investigadora de seguridad publicase detalles del error en su blog junto a una prueba de concepto, se implementaron mitigaciones para bloquear cualquier ataque que intentase aprovechar esta vulnerabilidad.

De no haber sido lanzadas esas mitigaciones, se habría abierto una puerta que, con total seguridad, se habría aprovechado para la distribución de malware, fraudes, phishing a través de correo electrónico, campañas de correo no deseado, entre otros tipos de ataques.

Más información:
The Confused Mailman: Sending SPF and DMARC passing mail as any Gmail or G Suite customer
https://ezh.es/blog/2020/08/the-confused-mailman-sending-spf-and-dmarc-passing-mail-as-any-gmail-or-g-suite-customer/

Comparte en tus redes: