Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Google vá lỗ hổng cho phép giả mạo email
Google vừa phát hành bản vá cho lỗ hổng giả mạo email ảnh hưởng đến Gmail và G Suite, 7 giờ sau khi lỗ hổng được tiết lộ công khai. Trước đó, Google đã biết về lỗ hổng từ tháng 4/2020.
Lỗ hổng được nhà nghiên cứu Allison Husain công bố vào trung tuần này, liên quan đến việc thiếu xác minh khi cấu hình các định tuyến mail. Khai thác lỗ hổng, hacker có thể gửi email với tư cách là người dùng Gmail hoặc G Suite khác, bỏ qua các cơ chế bảo vệ như DMARC và SPF.
Husain đã chứng minh phát hiện của mình bằng cách sử dụng G Suite cá nhân để gửi email mạo danh xuất phát từ @google.com tới một tài khoản email G Suite khác.
“Tôi đã gửi đến một tài khoản G Suite khác để chứng minh rằng các kỹ thuật lọc mail và lọc thư rác của Google không chặn hay phát hiện cuộc tấn công”, nhà nghiên cứu giải thích. “Ngoài ra, tôi chọn mạo danh google.com vì chính sách DMARC của họ được đặt thành p=reject và do đó, bất kỳ vi phạm nào đối với SPF sẽ dẫn đến việc thông báo bị loại bỏ”.
Lỗ hổng được thông báo tới Google vào 3/4 và hãng đã xác nhận vào trung tuần tháng đó. Google sau đó đã lưu ý tới lỗ hổng nhưng vẫn không tung ra bản vá. Ngày 1/8, Husain thông báo với công ty rằng cô sẽ công khai những phát hiện của mình vào 17/8. Google phản hồi chuyên gia rằng họ sẽ phát hành một bản vá vào ngày 17/9, tuy nhiên hãng đã khắc phục chỉ 7 giờ sau khi chi tiết lỗ hổng được công khai.
Lỗ hổng được nhà nghiên cứu Allison Husain công bố vào trung tuần này, liên quan đến việc thiếu xác minh khi cấu hình các định tuyến mail. Khai thác lỗ hổng, hacker có thể gửi email với tư cách là người dùng Gmail hoặc G Suite khác, bỏ qua các cơ chế bảo vệ như DMARC và SPF.
Husain đã chứng minh phát hiện của mình bằng cách sử dụng G Suite cá nhân để gửi email mạo danh xuất phát từ @google.com tới một tài khoản email G Suite khác.
“Tôi đã gửi đến một tài khoản G Suite khác để chứng minh rằng các kỹ thuật lọc mail và lọc thư rác của Google không chặn hay phát hiện cuộc tấn công”, nhà nghiên cứu giải thích. “Ngoài ra, tôi chọn mạo danh google.com vì chính sách DMARC của họ được đặt thành p=reject và do đó, bất kỳ vi phạm nào đối với SPF sẽ dẫn đến việc thông báo bị loại bỏ”.
Lỗ hổng được thông báo tới Google vào 3/4 và hãng đã xác nhận vào trung tuần tháng đó. Google sau đó đã lưu ý tới lỗ hổng nhưng vẫn không tung ra bản vá. Ngày 1/8, Husain thông báo với công ty rằng cô sẽ công khai những phát hiện của mình vào 17/8. Google phản hồi chuyên gia rằng họ sẽ phát hành một bản vá vào ngày 17/9, tuy nhiên hãng đã khắc phục chỉ 7 giờ sau khi chi tiết lỗ hổng được công khai.
Theo SecurityWeek