Google hoàn tất vá lỗi Gmail sau 7 tiếng đồng hồ phát hiện lỗ hổng bảo mật

741
04-09-2020
Google hoàn tất vá lỗi Gmail sau 7 tiếng đồng hồ phát hiện lỗ hổng bảo mật

Bizfly Cloud chia sẻ - Vào thứ Tư tuần qua, Google đã vá lỗ hổng bảo mật lớn ảnh hưởng đến máy chủ email của Gmail và G Suite. 

Lỗ hổng này có thể cho phép kẻ tấn công gửi email giả mạo bắt chước bất kỳ khách hàng nào của Gmail hoặc G Suite.

Theo nhà nghiên cứu lĩnh vực bảo mật thông tin Allison Husain, người đã tìm thấy và báo cáo vấn đề này cho Google vào tháng 4 đầu năm nay, Allison còn cho biết lỗ hổng này có thể cho phép đính kèm, chuyển tiếp các email giả mạo tuân thủ SPF (Khung chính sách người gửi) và DMARC (Giao thức xác thực email), hai trong số các tiêu chuẩn bảo mật email tiên tiến nhất.

GOOGLE TRÌ HOÃN VÁ LỖI PHẦN MỀM TRONG KHI ĐÃ XEM XÉT BẢN BÁO CÁO CHI TIẾT LỖ HỔNG GMAIL

Mặc dù có tới 137 ngày để khắc phục sự cố được báo cáo, nhưng Google đã trì hoãn các bản vá lỗi quá thời hạn tiết lộ, dự định sẽ sửa lỗi vào khoảng thời gian đâu đó trong tháng 9 tới.

Các kỹ sư của Google đã thay đổi quyết định trước đó của họ vào ngày hôm qua, sau khi Husain công bố chi tiết về lỗ hổng của Gmail trên blog của cô ấy, bao gồm cả bằng chứng về mã khai thác lỗ hổng. 

Bảy tiếng đồng hồ ngay sau khi bài đăng của Husain được công khai, Google nói với Husain rằng họ đã triển khai các biện pháp giảm thiểu tác động của các cuộc tấn công, cũng như ngăn chặn bất kỳ cuộc tấn công nào trong thời gian chờ các bản vá cuối cùng được tung ra vào tháng 9.

Xét cho cùng, sự lóng ngóng khắc phục bug của Google ngày hôm qua là một chuyện thường xảy ra trong ngành công nghệ, nơi mà nhiều công ty và nhóm bảo mật của họ không phải lúc nào cũng hiểu hết mức độ nghiêm trọng và hậu quả của việc không vá lỗ hổng cho đến khi thông tin chi tiết về lỗi đó được công khai và họ phải tìm phương pháp khai thác để vá lại lỗ hổng một cách nhanh nhất.

CÁCH HOẠT ĐỘNG CỦA BUG GMAIL (G SUITE)

Lỗ hổng này, bản thân nó là sự kết hợp của hai yếu tố, như Husain giải thích trong bài đăng trên blog của mình.

Đầu tiên là lỗi cho phép kẻ tấn công gửi email giả mạo đến cổng email của Gmail và phần phụ trợ G Suite.

Kẻ tấn công có thể chạy hoặc thuê một máy chủ độc hại trên Gmail và phần phụ trợ G Suite, cho phép gửi email giả mạo qua, sau đó sử dụng yếu tố thứ hai.

Yếu tố thứ hai này cho phép kẻ tấn công thiết lập các quy tắc định tuyến email tùy chỉnh để nhận email đến và chuyển tiếp email đó, đồng thời giả mạo danh tính của bất kỳ khách hàng nào của Gmail hoặc G Suite bằng cách sử dụng tính năng Gmail/G Suite gốc có tên "Thay đổi tên người nhận".

Lợi ích của việc sử dụng tính năng này để chuyển tiếp email là Gmail / G Suite cũng xác thực email được chuyển tiếp giả mạo theo các tiêu chuẩn bảo mật SPF và DMARC, giúp những kẻ tấn công xác thực thư giả mạo. Xem biểu đồ minh họa của Husain bên dưới để hiểu hơn về cách kết hợp hai yếu tố.

Google hoàn tất vá lỗi Gmail sau 7 tiếng đồng hồ phát hiện lỗ hổng bảo mật - Ảnh 1.

"Ngoài ra, vì email bắt nguồn từ chương trình phụ trợ của Google, nên cũng có khả năng thư sẽ có điểm thư rác thấp hơn và do đó xác suất không bị lọc cũng cao hơn", Husain nói. Đồng thời cô cũng chỉ ra rằng hai yếu tố này chỉ dành riêng cho Google. .

Nếu lỗi hổng này vẫn chưa được vá, không nghi ngờ thêm gì về việc khai phá lỗ hổng rất có thể đã được các nhóm spam email, những kẻ lừa đảo BEC và các nhà phân phối phần mềm độc hại áp dụng rộng rãi.

Google hoàn tất vá lỗi Gmail sau 7 tiếng đồng hồ phát hiện lỗ hổng bảo mật - Ảnh 2.

Các biện pháp giảm thiểu tác hại do lỗ hổng tạo ra của Google đã được triển khai ở phía máy chủ, có nghĩa là khách hàng của Gmail và G Suite không cần phải làm gì hết.

Google hoàn tất vá lỗi Gmail sau 7 tiếng đồng hồ phát hiện lỗ hổng bảo mật - Ảnh 3.

Tham khảo từ zdnet.com

>> Có thể bạn quan tâm: Thông báo cập nhật lỗ hổng bảo mật Microsoft


TAGS: security
SHARE