[English]In Googles E-Mail-Dienst Gmail gab es eine fette Spoofing-Schwachstelle, mit der Mails über fremde Konten hätten verschickt werden können. Google hat diese Schwachstelle nun beseitigt, nachdem ein Exploit öffentlich wurde.
Anzeige
Die Sicherheitsforscherin Allison Husain stieß auf Problem und hat es in diesem Blog-Beitrag dokumentiert. Aufgrund fehlender Verifizierung bei der Konfiguration von Mail-Routen kann sowohl die strenge DMARC/SPF-Richtlinie von Google Mail als auch die strenge DMARC/SPF-Richtlinie jedes Kunden der G Suite unterlaufen werden. Dazu können die Mail-Routing-Regeln der G Suite verwendet werden, um betrügerische Nachrichten weiterzuleiten und ihnen Authentizität zu verleihen.
Dies ist insbesondere nicht dasselbe wie das klassische Mail-Spoofing von früher, bei dem dem From-Header ein willkürlicher Wert zugewiesen wird, eine Technik, die von Mail-Servern mit Hilfe des Sender Policy Framework (SPF) und der domänenbasierten Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC) leicht blockiert werden kann. Bei diesem Problem handelt es sich um einen einzigartigen Fehler im in Google-Mail-System, der es einem Angreifer ermöglicht, E-Mails wie jeder andere Benutzer oder Kunde der G Suite zu versenden und dabei selbst die restriktivsten SPF- und DMARC-Regeln einzuhalten.
Allison Husain entdeckte den Bug am 1. April 2020 und meldete diesen am 3. April 2020 an Google. Google bestätigte das Problem, stuft es als Fehler der Priorität 2, Schweregrad 2, ein, änderte aber nichts. Dann hat Allison Husain die Schwachstelle samt Proof of Concept (PoC) in ihrem Blog veröffentlicht. Sieben Stunden später war die Schwachstelle dann von Google gepatcht, wie die Sicherheitsforscherin schreibt. ZDnet.com hat diesen Beitrag zum Thema veröffentlicht. Ein deutschsprachiger Beitrag zum Thema findet sich hier bei heise.
Anzeige
