Gmail: una falla crítica permitió la suplantación de cualquier dirección

Google acaba de resolver una vulnerabilidad particularmente importante, ya que afectó a su famoso buzón de correo de Gmail. Permitía falsificar cualquier dirección de Gmail o Gsuite para enviar mensajes con otra identidad. La falla fue descubierta por Allison Husain, una investigadora de ciberseguridad. Se basa en un par de sistemas complementarios: DMARC (Dbasado en dominio METROmensaje Aautenticación Reportando y VSonformance) y SPF (Sender Policy Framework). Es un par de sistemas de seguridad que trabajan juntos para garantizar la autenticidad de los correos electrónicos. Es gracias a DMARC que algunos correos terminan en el archivo de Spam, o que los más dudosos no llegan en absoluto. SPF, por su parte, se utiliza para autenticar al remitente de un correo electrónico. Hoy en día, todas las plataformas de mensajería utilizan este impactante dúo. Se utiliza para ordenar los correos autorizados de su dominio en función de su dirección IP.

El backend de Google es cómplice a pesar de sí mismo

Para hacer esto, todo lo que tenía que hacer era ir a la consola de administración de G Suite. A partir de ahí, el usuario puede desactivar DMARC y SPF, y crear diferentes reglas de enrutamiento para los correos electrónicos entrantes a "Para aplicar encabezados personalizados, modifique el asunto o el destinatario antes de que el resto de la infraestructura de Google lo controle”, Explica la investigadora. Normalmente, un correo electrónico de este tipo se bloquearía instantáneamente. Pero la investigadora tuvo la idea de enviar un mensaje a su propia cuenta de G Suite "relé". Esto se ha configurado en sentido ascendente para enviar el mensaje en cuestión al objetivo, pero con información modificada ... incluida la dirección del remitente. Por tanto, esta versión del correo electrónico llega sin problemas, como si procediera de otra dirección, ya que el correo electrónico ya no proviene del remitente original sino directamente de la infraestructura interna de Google.

Técnicamente, por lo tanto, era posible falsificar cualquier dirección de Gmail de esta manera. Por lo tanto, un defecto en el par DMARC / SPF constituye una vulnerabilidad particularmente preocupante. Podemos imaginarnos fácilmente cómo tal falla pudo haber sido desastrosa dada la popularidad de este mensaje, especialmente porque la resolución no llegó hasta varios meses después de la alerta inicial. Un detalle curioso: también data del ... 1 de abril de 2020. Pero esta vulnerabilidad no era una broma, y ​​solo podemos saludar el ingenio del investigador que la detectó. Para más detalles técnicos, lo invitamos a leer su interesante publicación sobre el tema.