Sau 7 tiếng lỗ hổng của các dịch vụ G Suite được công bố trên blog, Google đã vá các lỗi này, mặc dù lỗi này đã được phát hiện từ tháng 4 nhưng Google vẫn chậm trễ khắc phục.
G Suite là một bộ ứng dụng điện toán đám mây và các công cụ phần mềm cộng tác và phần mềm được cung cấp bởi Google trên cơ sở đăng ký thuê bao. Nó bao gồm các ứng dụng web phổ biến của Google như Gmail, Google Drive, Google Hangouts, Google Calendar, và Google Docs.
Sau khi vá lỗi thành công, Google đã công bố lỗi này có thể cho phép tin tặc gửi email giả mạo bất kỳ khách hàng Gmail hoặc G suite nào.Theo nhà nghiên cứu bảo mật Allison Husain, người đã tìm thấy và báo cáo vấn đề này cho Google vào tháng 4, lỗi này cũng cho phép người đính kèm chuyển các email giả mạo tuân thủ SPF (Khung chính sách người gửi) và DMARC (Xác thực thông báo dựa trên miền, báo cáo và tuân thủ ), hai trong số các tiêu chuẩn bảo mật email tiên tiến nhất.
Tuy nhiên, mặc dù có 137 ngày để khắc phục sự cố được báo cáo, Google ban đầu đã trì hoãn các bản vá lỗi quá thời hạn tiết lộ, dự định sẽ sửa lỗi vào khoảng tháng 9.
Các kỹ sư của Google đã thay đổi quyết định vào ngày hôm qua sau khi Husain công bố chi tiết về lỗi trên blog của cô ấy, bao gồm cả mã khai thác POC (Proof of Concept)
Bảy giờ sau khi bài đăng trên blog được phát hành, Google nói với Husain rằng họ đã triển khai các biện pháp giảm nhẹ để chặn bất kỳ cuộc tấn công nào tận dụng sự cố được báo cáo, trong khi họ chờ các bản vá cuối cùng triển khai vào tháng 9.
Nhìn lại, việc vá lỗi ngày hôm qua là một chuyện thường xảy ra trong ngành công nghệ, nơi mà nhiều công ty và nhóm bảo mật của họ không phải lúc nào cũng hiểu hết mức độ nghiêm trọng và hậu quả của việc không vá lỗ hổng cho đến khi thông tin chi tiết về lỗi đó được công khai và họ phải được khai thác.
Cách hoạt động của bug Gmail
Về bản thân lỗi, vấn đề thực sự là sự kết hợp của hai yếu tố, như Husain giải thích trong bài đăng trên blog của mình.
Đầu tiên là lỗi cho phép kẻ tấn công gửi email giả mạo đến cổng email trên phần phụ trợ Gmail và G Suite.
Kẻ tấn công có thể chạy / thuê một máy chủ email độc hại trên phần phụ trợ của Gmail và G Suite, cho phép gửi email này qua, sau đó sử dụng lỗi thứ hai.
Lỗi thứ hai này cho phép kẻ tấn công thiết lập các quy tắc định tuyến email tùy chỉnh để nhận email đến và chuyển tiếp email đó, đồng thời giả mạo danh tính của bất kỳ khách hàng Gmail hoặc G Suite nào bằng cách sử dụng tính năng Gmail / G Suite gốc có tên “Thay đổi người nhận trên phong bì”.
Lợi ích của việc sử dụng tính năng này để chuyển tiếp email là Gmail / G Suite cũng xác thực email được chuyển tiếp giả mạo theo các tiêu chuẩn bảo mật SPF và DMARC, giúp những kẻ tấn công xác thực thư giả mạo. Xem biểu đồ của Husain bên dưới để biết cách kết hợp hai lỗi.
“Ngoài ra, vì thư có nguồn gốc từ chương trình phụ trợ của Google, nên cũng có khả năng thư sẽ có điểm spam thấp hơn và do đó sẽ ít được lọc hơn”, Husain nói, đồng thời chỉ ra rằng hai lỗi này chỉ dành riêng cho Google. .
Nếu lỗi vẫn chưa được vá, không nghi ngờ gì rằng việc khai thác rất có thể đã được các nhóm spam email, những kẻ lừa đảo tống tiền doanh nghiệp và các nhà phân phối phần mềm độc hại áp dụng rộng rãi.
Các biện pháp giảm thiểu của Google đã được triển khai ở phía máy chủ, có nghĩa là khách hàng của Gmail và G Suite không cần phải làm gì cả.
Đáng chú ý, trong ngày hôm qua, hàng loạt quốc gia trên thế giới cũng như Việt Nam đều gặp lỗi với các dịch vụ của G Suite như Gmail, Drive, đặc biệt với thư có tệp đính kèm đều bị lỗi.
Theo AndroidAuthority, Google đã xác nhận sự cố gián đoạn dịch vụ xảy ra với một số dịch vụ của hãng trên trang G Suite Status Dashboard (GSSD). Google cũng cho biết hãng đang tiến hành điều tra nguyên nhân gây sự cố và sẽ sớm có thông báo cụ thể vào 16h00 sau khi sự cố được khắc phục.
Nguyễn Long