Uma grave falha de segurança paralisou os serviços do Gmail nesta quarta-feira em todo o mundo. O Google corrigiu corrigiu o problema que afeta os servidores de e-mail do Gmail e do G Suite. O bug pode ter permitido que um invasor enviasse e-mails falsos imitando qualquer cliente do Gmail ou G Suite.
De acordo com a pesquisadora de segurança Allison Husain, que encontrou e relatou esse problema ao Google em abril, o bug também permitiu que os anexos passassem os e-mails falsificados como compatíveis com SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting, and Conformance ), dois dos padrões de segurança de e-mail mais avançados.
Google corrige bug do Gmail. Patches só ficaram prontos 4 meses depois de alertas
No entanto, apesar de ter 137 dias para corrigir o problema relatado, o Google inicialmente adiou os patches além do prazo de divulgação. O previsto era aplicar a correção somente em setembro. Os engenheiros do Google mudaram de ideia ontem depois que Husain publicou detalhes sobre o bug em seu blog, incluindo código de exploração de prova de conceito.
Sete horas depois que a postagem do blog foi ao ar, o Google disse a Husain que implantou medidas de mitigação. Elas vão bloquear qualquer ataque. Porém, o problema relatado ainda espera pelos pacotes de correção.
Em retrospectiva, a confusão de patch de bug de ontem é uma ocorrência comum na indústria de tecnologia, onde muitas empresas e suas equipes de segurança nem sempre entendem totalmente a gravidade e as repercussões de não corrigir uma vulnerabilidade até que os detalhes sobre esse bug se tornem públicos, e eles ficarão para ser explorado.
Como o bug do GMAIL (G SUITE) funcionava
Quanto ao bug em si, o problema é, na verdade, uma combinação de dois fatores. O primeiro é um bug que permite que um invasor envie e-mails falsificados para um gateway de e-mail no back-end do Gmail e do G Suite.
O invasor pode executar/alugar um servidor de e-mail malicioso no back-end do Gmail e do G Suite, permitir a passagem deste e-mail e usar o segundo bug.
Este segundo bug permite que o invasor configure regras de roteamento de e-mail personalizadas. Isso permite que peguem e-mails recebidos e os encaminhem. Além disso, ao mesmo tempo, falsificam a identidade de qualquer cliente do Gmail ou G Suite. Então, para isso usam um recurso nativo do Gmail/G Suite chamado “Alterar destinatário do envelope”
A vantagem de usar esse recurso para encaminhar e-mails é que o Gmail/G Suite também valida o e-mail falso encaminhado. Ao usarem os padrões de segurança SPF e DMARC, podem autenticar a mensagem falsificada. Husain fez um gráfico para explicar melhor esse processo. Veja que os dois bugs podem ser combinados.
Notícias Relacionadas
Além disso, como a mensagem é proveniente do back-end do Google, também é provável que a mensagem tenha uma pontuação de spam menor e, portanto, deva ser filtrada com menos frequência, disse Husain.
Ele garante que os dois bugs são exclusivos do Google. O potencial de uso por cibercriminosos é enorme: spam, malware e golpistas fariam a festa.
This is a serious vuln *that is still exploitable*
ANY G Suite domain or @gmail address can be spoofed (and land in the inbox), even with DMARC reject. It also seems that non-G Suite domains can be spoofed to G Suite recipients and in permissive (O365) envs due to SPF pass (1/n) https://t.co/QK22WOX6Fv
— Josh Kamdjou (@jkamdjou) August 20, 2020
Serviços apresentaram problemas
As atenuações do Google foram implantadas no servidor, o que significa que os clientes do Gmail e do G Suite não precisam fazer nada. No entanto, usuários relataram interrupções nos serviços do Gmail, Google Drive, Google Docs, Google Meet e Google Voice.
O Google anunciou ter resolvido os problemas. Usuários do mundo todo relataram as falhas. Em nota, o Google afirma que lamenta o ocorrido.
“Lamentamos os inconvenientes provocados e agradecemos sua paciência e constante apoio”, disse a empresa. Além disso, o texto aponta que todas as incidências notificadas já estão solucionadas. Além disso, o Google enviou uma mensagem para os usuários, garantindo que a confiabilidade do sistema é uma das suas principais prioridades. Problemas começaram de madrugada no Brasil.
