文章提供：图文资通组
文章来源：https://www.ithome.com.tw/news/139568
发佈日期：2020.08.24 消息来源：iThome #资讯安全 #网路钓鱼 #社交工程

Google稍早针对Gmail和G Suite邮件系统释出修补程式，以解决一个通报137天、可被人用来发出冒名邮件的漏洞。
这项漏洞是由研究人员Allison Husain发现后向Google通报。这个漏洞发生在Google后端邮件流程规则上，造成冒名转发，再配合邮件闸道的使用，使攻击者得以绕过现代邮件系统严格的SPF/ DMARC规则保护，冒充G Suite/Gmail用户发送冒名邮件给他人。
SPF（Sender Policy Framework）和DMARC（Domain-based Message Authentication, Reporting, and Conformance）的规则可防止普通冒名信件。原理是将一组网域许可的发信者IP清单交给邮件伺服器比对，不在清单上的IP送出的信，包括冒名或钓鱼信件就不会被邮件伺服器接收；反之合法来源送来的信就会被接受。但是研究人员发现的冒名信件攻击，却是Google环境独有。
研究人员解释，G Suite后端全域邮件流程规则（global mail routing rule）设定允许变更收信人，这让她得以指定任意收信者。而G Suite却也未验证就接受了这个收件者值。这使得攻击者得以利用Google 后端将任何信件，包括冒名信件转寄出去。而在收信端的邮件伺服器上，来自Google（Gmail、G Suite）后臺的信件，可通过SPF/DMARC规则检查而被视为合法来源的信。另外，研究人员又发现，只要转发自Gmail、G Suite的信件包含邮件闸道设定，则终端邮件伺服器就会自动通过SPF/DMRAC检测，确保邮件连被隔离的可能性都没有，而是会直接进入收件者信箱。
整合G Suite邮件验证规则中的收信者验证错误及信件闸道，让攻击者得以让Google后端转发任何网域的信件，包括冒名邮件。而如果被冒名的人刚好也同时有用Gmail或G Suite就更好了，因为这些人的网域会设定允许Google后臺转发其网域的信件，而可顺利通过SPF及DMARC的检查。另一好处是，垃圾邮件过滤引擎也往往较不会拦阻或封锁来自Gmail、G Suite的邮件
研究人员指出，Google独有的漏洞让攻击者得以发送冒名信件，就连有SPF/SMARC规则防护也会被绕过，使企业用户面临诈欺信件或商业电子邮件诈骗（Business Email Compromise，BEC）。
Husain于4月初发现该漏洞后即通报Google，但是等到8月1日却仍不见Google修补的迹象。8月中Google表示，要到9月17日才会释出修补程式。8月19日时，研究人员以超过137天为由公布漏洞。而在公布后7小时，Google就完成修补。虽然拖了4个月才完成修补，但研究人员仍然赞扬Google态度良好且动作迅速。