Probers Segurança Patrik Fehrenbach e Behrouz Sadeghipour ter encontrado um (desde que-remendado) falha no Google Apps que permitiu que criminosos para registrar domínios corporativos e enviar e-mails de phishing enumerados na lista branca de endereços de administração.
O Choc Fábrica corrigiu a falha e entregou o duo US $ 500 a título de agradecimento.
a falha significava atacantes poderiam registrar o nome de uma empresa que não tinha assinado para o Google Apps for Work, em seguida, enviar e-mails de phishing para a equipe que parecem vir de um domínio legítimo da corporação. O ardil significava essas mensagens envenenadas não tropeçar filtros de spam.
Para encontrar e testar a falha, Fehrenbach e Sadeghipour e-mails enviados a partir de contas de administrador de sites de conteúdo Choc fábrica ytimg e gstatic que não foram sinalizado como suspeito. que o esforço mostrou que "... se você reclamar o domínio através do console de administração, você pode ver que não houve advertências dadas para o usuário, e se o usuário verifica os cabeçalhos de correio do servidor é um servidor confiável", escreveu o par em um comunicado .
"Portanto, não só estamos reivindicando outros domínios, estávamos com sucesso capaz de enganar o servidor do Gmail a aceitar um errado a partir de parâmetro."
O ataque contou com um formulário de pedido normal, que permite aos usuários o acesso temporário a um novo domínio a partir de onde os e-mails de phishing pode ser enviada.
Os e-mails estão autorizados a emitir instruções de inscrição, mas também permitir a inclusão de links de phishing maliciosos, o par encontrado.
Google corrigiu a vulnerabilidade alterando o endereço de e-mail recebido de administrador para no-reply@google.com. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário