E-Mail-Spoofing Sicherheitslücke in Google Admin-Konsole entdeckt

Sicherheitsforscher haben eine Verwundbarkeit innerhalb der Google Admin-Konsole ausgesetzt, die es Cyberangriffern ermöglicht, E-Mails zu verschicken, die von nicht beanspruchten Domänen legitim erscheinen.

Im vergangenen Monat, wie von Security Week berichtet, haben Patrik Fehrenbach und Behrouz Sadeghipour über einen Sicherheitsfehler in der Google Admin-Konsole entdeckt, der zur Steuerung der Google Apps-Suite eines Unternehmens verwendet wird und die es Nutzern ermöglicht, Domains vorübergehend zu beanspruchen und Spoof-E-Mails zu versenden.

Um die Schwachstelle zu testen, nutzten Fehrenbach und Sadeghipour den Tech-Riesen selbst als Opfer – behaupteten Domains wie ytimg.com und gstatic.com, um spoofed E-Mails zu senden. Die Domains werden von Google in Bezug auf YouTube und die beiden Hosting-Dateien und das Entladen von statischen Inhalten verwendet, um die Bandbreitenanforderungen im Web-Browsing zu reduzieren.

Während der Tests wurden, wie in einem Blogpost und einem begleitenden Video erläutert, E-Mails gesendet, die von diesen Domänen zu senden scheinen – darunter “admin@ytimg.com” und “admin@gstatic.com.

Wenn Sie versuchen, eine gefälschte E-Mail von einem anderen Server zu senden, erkennt Google die Nachricht und warnt den Benutzer, dass er falsch oder betrügerisch sein könnte – da der Server vollständig anders als die Domäne angezeigt wird. Wenn Sie jedoch die Domain über die Google Admin-Konsole anfordern, werden den Empfängern keine Warnungen ausgehändigt, sodass die gefälschte E-Mail wahrscheinlich als vertrauenswürdige Quelle betrachtet wird.

Infolgedessen konnten Cyberattacker diese Verwundbarkeit verwenden, um Spoof-E-Mails auszusenden, die legitim erscheinen und von einem vertrauenswürdigen Server stammen und keine Flags enthalten, die E-Mails als verdächtig identifizieren.

Egal im Alter, das Erlernen einer Programmiersprache ist eine marktfähige Fähigkeit. Hier sind mobile Apps, die Sie unterstützen.

Das Duo sagte

Anonyme Ziele ISIS Social Media, Recruitment-Laufwerke in #OpISIS Kampagne, schlechte Sicherheit hinterließ Anthem Kundenrekorde ausgesetzt, Verizon rennt fix für E-Mail-Konto offene Saison Sicherheitslücke, Sony-Chef Amy Pascal Schritte nach Cyberattack, E-Mail-Exposition, Facebook Fonds GNU Privacy Guard Entwicklung

Die Forscher berichteten über den Sicherheitsfehler an Google, der durch einfaches Anwenden eines FROM no-reply@google.com gepatcht wurde. Entsprechend der Publikation wurden die Mannschaft $ 500 für ihre Arbeit vergeben.

In dieser Woche beabsichtigen sowohl Apple als auch Google, Fixes für die Sicherheitslücke FREAK freizugeben, eine Sicherheitslücke von Secure Sockets Layer (SSL) und Transport Layer Security (TLS), die es Hackern ermöglicht, SSL Man-in-the-Middle (MITM) Anschläge.

Lesen Sie weiter: In der Welt der Sicherheit

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundes-Chief Information Security Officer, Sicherheit, Pentagon für Cyber ​​kritisiert -Notfall Reaktion durch die Regierung Watchdog

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog