Los desarrolladores de Google han solucionado una grave vulnerabilidad que afecta a Gmail y G Suite. En esencia, el problema permitía a un atacante hacerse pasar por cualquier usuario de Gmail y G Suite y enviar correos electrónicos en nombre de otra persona, sin pasar por los mecanismos de seguridad como SPF (Marco de políticas del remitente) y DMARC (Autenticación de mensajes, informes y conformidad basados ​​en dominios).

Allison Husain, especialista en seguridad de la información, descubrió la vulnerabilidad en abril de este año, y Google tuvo más de 130 días para corregir el error. Sin embargo, los desarrolladores de Google decidieron posponer el lanzamiento del parche, planeando solucionar el problema solo en el otoño, y Hussein decidió que había esperado lo suficiente. Hace unos días la especialista publicó información sobre el problema en su blog, adjuntando un exploit PoC al informe.

El investigador dice que la vulnerabilidad tiene dos partes. La primera parte del problema es un error que permite a un atacante enviar correos electrónicos falsos a la puerta de enlace en el backend de Gmail y G Suite. Por ejemplo, un atacante puede iniciar o alquilar un servidor de correo malicioso en el backend de Gmail y G Suite, pasar una carta a través de él y luego aprovechar el segundo componente del problema.

La segunda parte de la vulnerabilidad permite a un atacante configurar reglas de enrutamiento personalizadas que aceptarán el correo electrónico entrante y lo redireccionarán, falsificando la identidad de cualquier cliente de Gmail o G Suite mediante la función incorporada Cambiar destinatario del sobre. Al mismo tiempo, se verifica que la carta reenviada cumpla con los estándares de seguridad SPF y DMARC, lo que solo ayuda al atacante a confirmar la autenticidad del mensaje falso.

Esquema del ataque usando la vulnerabilidad
Pasos del ataque

Hussein demostró el problema en acción utilizando su dominio personalizado de G Suite y haciéndose pasar por [email protected]

“Además, existe la posibilidad de que dichos mensajes tengan una clasificación de spam más baja, ya que provienen del backend de Google, lo que significa que los filtros responderán a dichos mensajes con menos frecuencia”, dice Hussein.

Solo siete horas después de que se revelara la vulnerabilidad, los ingenieros de Google dijeron que habían tomado todas las medidas necesarias para evitar posibles ataques, por lo que ahora se puede esperar con seguridad el parche programado para septiembre.