Google corrige bug do Gmail

Uma grave falha de segurança paralisou os serviços do Gmail nesta quarta-feira em todo o mundo. O Google corrigiu corrigiu o problema que afeta os servidores de e-mail do Gmail e do G Suite. O bug pode ter permitido que um invasor enviasse e-mails falsos imitando qualquer cliente do Gmail ou G Suite.

De acordo com a pesquisadora de segurança Allison Husain, que encontrou e relatou esse problema ao Google em abril, o bug também permitiu que os anexos passassem os e-mails falsificados como compatíveis com SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting, and Conformance ), dois dos padrões de segurança de e-mail mais avançados.

Google corrige bug do Gmail. Patches só ficaram prontos 4 meses depois de alertas

No entanto, apesar de ter 137 dias para corrigir o problema relatado, o Google inicialmente adiou os patches além do prazo de divulgação. O previsto era aplicar a correção somente em setembro. Os engenheiros do Google mudaram de ideia ontem depois que Husain  publicou detalhes sobre o bug em seu blog, incluindo código de exploração de prova de conceito.

Sete horas depois que a postagem do blog foi ao ar, o Google disse a Husain que implantou medidas de mitigação. Elas vão bloquear qualquer ataque. Porém, o problema relatado ainda espera pelos pacotes de correção.

Em retrospectiva, a confusão de patch de bug de ontem é uma ocorrência comum na indústria de tecnologia, onde muitas empresas e suas equipes de segurança nem sempre entendem totalmente a gravidade e as repercussões de não corrigir uma vulnerabilidade até que os detalhes sobre esse bug se tornem públicos, e eles ficarão para ser explorado.

Como o bug do GMAIL (G SUITE) funcionava

Quanto ao bug em si, o problema é, na verdade, uma combinação de dois fatores. O primeiro é um bug que permite que um invasor envie e-mails falsificados para um gateway de e-mail no back-end do Gmail e do G Suite.

O invasor pode executar/alugar um servidor de e-mail malicioso no back-end do Gmail e do G Suite, permitir a passagem deste e-mail e usar o segundo bug.

Este segundo bug permite que o invasor configure regras de roteamento de e-mail personalizadas. Isso permite que peguem e-mails recebidos e os encaminhem. Além disso, ao mesmo tempo, falsificam a identidade de qualquer cliente do Gmail ou G Suite. Então, para isso usam um recurso nativo do Gmail/G Suite chamado “Alterar destinatário do envelope”

A vantagem de usar esse recurso para encaminhar e-mails é que o Gmail/G Suite também valida o e-mail falso encaminhado. Ao usarem os padrões de segurança SPF e DMARC, podem autenticar a mensagem falsificada. Husain fez um gráfico para explicar melhor esse processo. Veja que os dois bugs podem ser combinados.

Google corrige bug do Gmail após invasão

Além disso, como a mensagem é proveniente do back-end do Google, também é provável que a mensagem tenha uma pontuação de spam menor e, portanto, deva ser filtrada com menos frequência, disse Husain.

Ele garante que os dois bugs são exclusivos do Google. O potencial de uso por cibercriminosos é enorme: spam, malware e golpistas fariam a festa.

Serviços apresentaram problemas

timeline.png

As atenuações do Google foram implantadas no servidor, o que significa que os clientes do Gmail e do G Suite não precisam fazer nada. No entanto, usuários relataram interrupções nos serviços do Gmail, Google Drive, Google Docs, Google Meet e Google Voice.

O Google anunciou ter resolvido os problemas. Usuários do mundo todo relataram as falhas. Em nota, o Google afirma que lamenta o ocorrido.

“Lamentamos os inconvenientes provocados e agradecemos sua paciência e constante apoio”, disse a empresa. Além disso, o texto aponta que todas as incidências notificadas já estão solucionadas. Além disso, o Google enviou uma mensagem para os usuários, garantindo que a confiabilidade do sistema é uma das suas principais prioridades. Problemas começaram de madrugada no Brasil.