Actualités

G Suite : quand une vulnérabilité permettait de contourner les règles de routage pour exploiter n’importe quelle adresse mail !

Alors que Google vient de résorber une panne essuyée au sein de sa messagerie Web Gmail depuis peu, voici qu’une autre vulnérabilité inquiétante résidait : elle permettait, depuis le panneau d’administration G Suite, de contourner les règles de routage en modifiant certains paramètres… dont l’adresse de destination ; sans vérification ultérieure avant validation…

 

 

En cherchant dans la console d’administration G Suite, j’ai remarqué que je pouvais créer des règles de routage globales pour les e-mails entrants sur mon domaine en utilisant l’option “Routage par défaut” sous “Paramètres pour Gmail”. Ces règles m’ont permis, entre autres, d’appliquer des en-têtes personnalisés, de modifier la ligne d’objet ou de changer la personne à qui l’e-mail doit être envoyé avant qu’il ne soit traité par le reste de l’infrastructure de Google […] Cette dernière option, affichée ci-dessus sous le nom “Modifier le destinataire de l’enveloppe”, était particulièrement intéressante car elle me permettait de spécifier un destinataire arbitraire et de faire en sorte que le backend de Google renvoie l’e-mail à quelqu’un d’autre. Fait inquiétant, la valeur du destinataire est acceptée par G Suite sans effectuer aucune validation pour m’assurer que je possède l’adresse e-mail de destination ou le domaine de destination“, explique la chercheuse Allison Husain, dans un billet sécuritaire détaillé du 19 Août dernier.

 

Gardes-fou dans ce “domaine“, SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication, Reporting and Conformance) veillent au trafic-mails en vérifiant qu’un mail donné a un chemin conforme, légitime vers telle ou telle adresse (mail) de destination. Cela évite, notamment, de surcharger l’ensemble d’un réseau ou, tout simplement, d’essuyer de multiples attaques assimilées (phishing, e-mail spoofing…). Ces vérifications par redirections ou aiguillage en bonne et due forme n’étaient pas appliqués sous G Suite, ce qui était plus que troublant.

Après quelques essais infructueux, la chercheuse est aller voir du côté de la “passerelle de messagerie entrante” : “en enchaînant à la fois la validation de destinataire interrompue dans les règles de validation des e-mails de G Suite et une passerelle entrante, j’ai pu amener le backend de Google à renvoyer des e-mails pour tout domaine qui était clairement usurpé lors de sa réception. Ceci est avantageux pour un attaquant si la victime dont il a l’intention d’usurper l’identité utilise également Gmail ou G Suite, car cela signifie que le message envoyé par le backend de Google passera à la fois SPF et DMARC car leur domaine sera, de par la nature de l’utilisation de G Suite, configuré pour autoriser le backend de Google à envoyer des e-mails depuis son domaine. En outre, étant donné que le message provient du backend de Google, il est également probable que le message aura un score de spam inférieur et devrait donc être filtré moins souvent“, alerte Allison Husain qui a pu exploiter, ainsi, le fait que la passerelle ne tient pas compte des IPs déjà incluses en liste en évitant de les contrôler via le SPF… Idem pour DMARC, au niveau des messages pour les hôtes déjà enregistrés.

Découverte le 1er Avril 2020, la vulnérabilité a été reportée au 3 Avril à Google qui l’a colmaté au 19 Août 2020… A veiller !

 

 

Source : Blog d’Allison Husain – 19 Août 2020 – G Suite : depuis la console d’administration, une vulnérabilité détournait la destination des mails.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020