Google verhelpt spoofingbug bij G Suite 137 dagen na eerste melding

Google heeft een probleem verholpen waardoor derden via de Gmail- en G Suite-servers mails konden sturen uit naam van adressen van een ander. De bug werd 137 dagen geleden gemeld, maar werd pas verholpen na publicatie van de details van het probleem.

Het probleem zat in de beheerconsole van G Suite, die in staat stelt inkomende mail te routeren via 'Default routing' bij de Gmail-instellingen. Daarbij is een optie om de ontvanger, gebruikersnaam en domeinnaam van de inkomende mail aan te passen. Beveiligingsonderzoeker Allison Husain ontdekte dat de console daarbij niet valideerde of de routerende persoon daadwerkelijk eigenaar was van het e-mailadres en het domein.

Alleen bij gebruik van streng afgestelde authenticatietechniek dmarc lukte het spoofen niet, maar ook dit wist Husain te omzeilen. Deze techniek valideert of een bericht van het domein van de verzender inderdaad daarvandaan mocht worden verzonden. Door een inbound gateway bij het G Suite-adminpaneel te configureren en een of meer ip-adressen toe te voegen, bleek het mogelijk om de dmarc-validatie te skippen omdat die validatie bij de inbound gateway zou moeten plaatsvinden. Juist omdat de spoofing via de vertrouwde Googles servers verliep, had de bug op grote schaal misbruikt kunnen worden voor bijvoorbeeld spamming omdat filters berichten dan doorlaten.

Husain ontdekte het probleem op 1 april en lichtte Google op 3 april in. Als ze op 1 augustus ontdekt dat het probleem nog aanwezig is, laat ze Google weten dat ze op 17 augustus de details wil publiceren. Ondanks toezeggen dat een fix op komst is, blijft deze uit en op 19 augustus komen de details online. Zeven uur daarna voert Google vervolgens alsnog een patch door. Husain feliciteert het beveiligingsteam van Google en laat weten verder goede communicatie met het team gehad te hebben.

Reacties (23)

BytePhantomX 20 augustus 2020 20:53

Blijkbaar houdt Google andere bedrijven aan andere standaarden dan dat ze voor zichzelf hanteren:
https://googleprojectzero...closure-2020-edition.html

Google maakt een security issue altijd na 90 dagen bekend, ongeacht of je het tijdig op kan lossen. Blijkbaar hebben ze die druk zelf ook nodig.

Aardedraadje

@BytePhantomX • 20 augustus 2020 22:12

Je neemt me de woorden uit m'n mond. Ik wilde hier net hetzelfde neerzetten.

Het is zelfs voorgekomen dat Microsoft al een patch klaar had staan voor release in de patch-cyclus. Dit was 2 dagen later dan de 90 dagen die Project Zero hanteert, en de PoC werd gewoon doodleuk gereleased. Tot Microsoft's ergernis:

CVD philosophy and action is playing out today as one company – Google – has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so.

2 Dagen wachten op een ander, die een patch al klaar heeft staan, kan dus niet. Maar toch geven ze zichzelf wel 47 dagen extra.

Edit; Nuance is wel dat dit lek niet op Project Zero is gemeld maar door een externe onderzoeker. Alsnog is het niet netjes dat het zo lang duurde om een fix uit te brengen.

[Reactie gewijzigd door Aardedraadje op 25 juli 2024 22:51]

Rob Coops @Aardedraadje • 21 augustus 2020 10:18

Verschillende teams verschillende prioriteiten...
Ik neem aan dat als de onderzoeker in kwestie ze had laten weten dat 90 dagen echt 90 dagen is en dat ze geen minuut langer zou wachten dan had Google misschien wel op tijd de patch uitgerold. Of als nog gewacht omdat de fix lastiger bleek dan men initieel dacht.

Het is nu eenmaal zo dat een bedrijf als Google niet bestaat uit een organisatie maar dat honderden afzonderlijke organisaties bestaan die allemaal hun eigen management hebben en pas heel laat op de lader met elkaar praten en aangestuurd worden door een management laag.
Het kan dus heel goed zijn dat de gmail mensen niemand kennen die voor project zero werkt en dat ze ook niet weten waar dit project team überhaupt zit.
Ik vind het dan ook helemaal niet gek dat er dit soort verschillende standaarden zijn binnen de organisatie en ik vermoed dat de leiders van het project zero team druk aan het escaleren zullen zijn om het gmail team te laten weten dat dit natuurlijk niet kan. Of dat bericht ooit bij het gmail team aankomt hangt helemaal af van of en hoe de boven hen gestelde in de google pikorde besluiten met deze escalatie om te gaan.

mercury17 @BytePhantomX • 21 augustus 2020 08:29

Google wordt net zo'n arrogant bedrijf als Apple...
Monopolisten zijn het en dat blijkt uit alles.

wifikabelhuren @mercury17 • 21 augustus 2020 09:18

Dat heb je toch met elk groot bedrijf. Je hebt als klant gewoon niks meer te zeggen

Douweegbertje @BytePhantomX • 21 augustus 2020 09:35

I hold absolutely no ill-will against Google’s security team because they have been kind throughout the entire reporting process and have been very clear that they did not wish to suppress or in any way limit disclosure.

Iedereen zit hier de moraalridder te spelen over projectzero en alles. Maar Google is hier nergens vervelend of evil in geweest en de onderzoeker had zonder problemen het na 90 dagen kunnen publiceren.

Noxious 20 augustus 2020 19:33

Dit gedrag van Google strookt niet erg met hoe zij zichzelf opstellen tegenover anderen als ze een bug vinden.

batjes @Noxious • 20 augustus 2020 19:42

Google had dit zelf na 90 dagen moeten openbaren. Maar dit is niet de eerste keer dat Google zich niet aan zijn eigen security richtlijnen houden die ze -vooral- hun concurrentie opdwingen. Hierom kan ik zelf Project Zero niet serieus nemen.

elmuerte @batjes • 20 augustus 2020 19:46

Project Zero kan je serieus nemen, de principes zijn in orde. Maar Google verder niet, want blijkbaar staan ze niet achter de Project Zero principes.

mikesmit @elmuerte • 20 augustus 2020 20:49

Het is erg aannemelijk dat project zero enkel bestaat om onder het mom van morele normen en waarden andere bedrijven in slecht daglicht te zetten.

Hoe Nobel het initiatief ook is het is altijd in het voordeel van Google geweest om bugs en problemen bij eigen producten minder vocaal te uiten dan dat van concurrenten.

Bovendien moet elke afdeling en project een direct en indirect financieel doel hebben richting de aandeelhouders en aangezien je met een bug hunter project geen geld kan verdienen is het overduidelijk dat project zero onderdeel is van hun marketing afdeling. Diskrediet en slecht daglicht zijn moeilijk te corrigeren voor bedrijven en vereisen enorme goodwill om in de vergetelheid te belanden

elmuerte @mikesmit • 20 augustus 2020 20:55

Niet volgens de mission statement van Project Zero: https://security.googlebl...ouncing-project-zero.html
Ja dat was 6 jaar geleden, toen Google nog "Do No Evil" had.

catfish @elmuerte • 21 augustus 2020 08:50

6 jaar geleden was die slogan ook al een grap hoor.
Imago en werkelijkheid niet dikwijls niet hetzelfde.

Giesber @elmuerte • 20 augustus 2020 21:15

Tja, moest het nu zo zijn dat ze er vooral hun concurrenten mee willen schaden, denk je dan echt dat ze dat in het mission statement zouden zetten?

Zo'n mission statements zijn meestal een hoop lucht, die misschien in sommige gevallen nog dienen om je werknemers te motiveren. Moesten die mission statements 100% eerlijk zijn had zowat elk bedrijf hetzelfde: "making loads of money".

batjes @elmuerte • 20 augustus 2020 19:52

Project Zero is ook gewoon Google. Persoonlijk kan ik er slecht tegen als mensen anderen vertellen hoe het moet, terwijl ze zelf alles behalve het goede voorbeeld zijn waarover ze anderen aanspreken. Helemaal gezien Google dit wel leuk in zijn marketing gebruikt om concurrentie in een negatief daglicht te zetten.

elmuerte @batjes • 20 augustus 2020 19:53

Daar ben ik het ook helemaal mee eens.

Sandor_Clegane @batjes • 20 augustus 2020 19:46

Just do as I say, don't do as I do.

Vizzie @Noxious • 21 augustus 2020 08:29

Goh Google blijkt een project opgezet hebben om slechte reclame te maken voor anderen en houdt zich zelf verder helemaal niet aan de standaarden waar ze anderen aan willen houden.

Een reclamebedrijf dat oneerlijk is waar gaat het heen met de wereld?

wica 20 augustus 2020 20:31

Zou er een relatie zijn met de storing van vanmorgen of was dit puur toeval?
nieuws: Google heeft storing bij Gmail, Drive, Docs en Meet - update

Vlerk2 21 augustus 2020 00:51

Google heeft tenminste een responsible disclosure. Kijk eens rond bij de bedrijven in je omgeving en zie dat vrijwel niemand bezig is met veiligheid. https://tweakers.net/info/responsible-disclosure/

Vizzie @Vlerk2 • 21 augustus 2020 08:31

Responsible met de eigen bugs en na 90 dagen publiceren we het gewoon met de bugs van anderen.

maniak 20 augustus 2020 21:12

Nu nog het probleem oplossen dat G Suite gebruikers geen gebruik kunnen maken van YouTube Premium gezin abbo.

B-Force 21 augustus 2020 09:09

Ik ben totaal niet thuis in deze materie en heb dus ook geen achtergrond informatie hierover, maar ik zie wel heel veel tweakers hierboven meteen in de pen klimmen dat men het belachelijk vindt dat Google zich niet aan zijn eigen principes houdt. Blijkbaar beloven ze binnen 90 dagen een bug te fixen.

Kan het niet zo zijn dat ze duizenden bugs wel fixen binnen 90 dagen en er af en toe eentje doorglipt? Dat zou toch fantastisch zijn? Als elk bedrijf zo zou werken, zou er veel meer gebeuren.

Wij zijn tegenwoordig vooral uit op foutjes zoeken en opsporen en daar meteen over klagen, maar hebben niet (altijd) een goed beeld van wat er allemaal wel goed gaat. Ik merk dat ik me erger aan de eerste reacties, omdat het altijd de eerste standaard reacties zijn die vooral vertellen hoe slecht of belachelijk iets is. Hier, of bv. op nu.nl of andere sites.

(ik ben niet op zoek naar onderbouwing van het feit of Google wel of niet goed werk doet, dat vind ik nog niet eens relevant)

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (23)

Sorteer op:

Weergave: