{"id":234721,"date":"2020-08-21T15:44:52","date_gmt":"2020-08-21T13:44:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234721"},"modified":"2021-03-12T07:13:45","modified_gmt":"2021-03-12T06:13:45","slug":"google-fixt-gmail-spoofing-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/21\/google-fixt-gmail-spoofing-schwachstelle\/","title":{"rendered":"Google fixt Gmail-Spoofing-Schwachstelle"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/08\/21\/google-fixt-gmail-spoofing-schwachstelle\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]In Googles E-Mail-Dienst Gmail gab es eine fette Spoofing-Schwachstelle, mit der Mails \u00fcber fremde Konten h\u00e4tten verschickt werden k\u00f6nnen. Google hat diese Schwachstelle nun beseitigt, nachdem ein Exploit \u00f6ffentlich wurde.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/b2705ca24a9f4c3787d0f258fb5e2496\" alt=\"\" width=\"1\" height=\"1\" \/>Die Sicherheitsforscherin Allison Husain stie\u00df auf Problem und hat es in <a href=\"https:\/\/web.archive.org\/web\/20210228210604\/https:\/\/ezh.es\/blog\/2020\/08\/the-confused-mailman-sending-spf-and-dmarc-passing-mail-as-any-gmail-or-g-suite-customer\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a> dokumentiert. Aufgrund fehlender Verifizierung bei der Konfiguration von Mail-Routen kann sowohl die strenge DMARC\/SPF-Richtlinie von Google Mail als auch die strenge DMARC\/SPF-Richtlinie jedes Kunden der G Suite unterlaufen werden. Dazu k\u00f6nnen die Mail-Routing-Regeln der G Suite verwendet werden, um betr\u00fcgerische Nachrichten weiterzuleiten und ihnen Authentizit\u00e4t zu verleihen.<\/p>\n<p>Dies ist insbesondere nicht dasselbe wie das klassische Mail-Spoofing von fr\u00fcher, bei dem dem From-Header ein willk\u00fcrlicher Wert zugewiesen wird, eine Technik, die von Mail-Servern mit Hilfe des Sender Policy Framework (SPF) und der dom\u00e4nenbasierten Nachrichtenauthentifizierung, Berichterstattung und Konformit\u00e4t (DMARC) leicht blockiert werden kann. Bei diesem Problem handelt es sich um einen einzigartigen Fehler im in Google-Mail-System, der es einem Angreifer erm\u00f6glicht, E-Mails wie jeder andere Benutzer oder Kunde der G Suite zu versenden und dabei selbst die restriktivsten SPF- und DMARC-Regeln einzuhalten.<\/p>\n<p>Allison Husain entdeckte den Bug am 1. April 2020 und meldete diesen am 3. April 2020 an Google. Google best\u00e4tigte das Problem, stuft es als Fehler der Priorit\u00e4t 2, Schweregrad 2, ein, \u00e4nderte aber nichts. Dann hat Allison Husain die Schwachstelle samt Proof of Concept (PoC) in ihrem Blog ver\u00f6ffentlicht. Sieben Stunden sp\u00e4ter war die Schwachstelle dann von Google gepatcht, wie die Sicherheitsforscherin schreibt. ZDnet.com hat <a href=\"https:\/\/www.zdnet.com\/article\/google-fixes-major-gmail-bug-seven-hours-after-exploit-details-go-public\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Beitrag<\/a> zum Thema ver\u00f6ffentlicht. Ein deutschsprachiger Beitrag zum Thema findet sich hier <a href=\"https:\/\/www.heise.de\/news\/Mail-Versand-im-Namen-anderer-Nutzer-Google-beseitigt-Spoofing-Luecke-aus-Gmail-4875446.html\" target=\"_blank\" rel=\"noopener noreferrer\">bei heise<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In Googles E-Mail-Dienst Gmail gab es eine fette Spoofing-Schwachstelle, mit der Mails \u00fcber fremde Konten h\u00e4tten verschickt werden k\u00f6nnen. Google hat diese Schwachstelle nun beseitigt, nachdem ein Exploit \u00f6ffentlich wurde.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[405,4353,4328],"class_list":["post-234721","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-google","tag-mail","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234721","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=234721"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234721\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=234721"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=234721"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=234721"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}