Google tool maakt per ongeluk het omzeilen van phishing-filters eenvoudig

email phishing
(Beeld: Shutterstock / Belozersky)

Een onderzoeker heeft een eigenaardigheid gevonden in de manier waarop Google App Engine omgaat met subdomeinen die ervoor zorgt dat oplichters onopvallend e-mail-phishing-campagnes kunnen opzetten.

In normale scenario's wordt Google App Engine gebruikt op webapplicaties te ontwikkelen en hosten. Volgens veiligheidsonderzoeker Marcel Afrahim kan het cloud-based platform echter ook worden misbruikt om veiligheidscontroles te omzeilen en slachtoffers naar kwaadaardige webpagina's te trechteren.

Het issue ligt bij de manier waarop het platform subdomeinen genereert en bezoekers begeleidt. Door een reeks invalide subdomeinen op te stellen, die allemaal automatisch omleidingen voorzien naar een centrale kwaadaardige applicatie, kunnen aanvallers hun activiteiten makkelijk verbergen.

Email phishing

Traditiegetrouw beschermen veiligheidsprofessionals gebruikers van kwaadaardige applicaties door het identificeren en blokkeren van aanvragen van en naar gevaarlijke subdomeinen. De manier waarop Google App Engine echter URL's van subdomeinen genereert, maakt dit proces veel meer uitdagend. 

Elk subdomein dat via het platform wordt gemaakt bevat een markering die de versie van de app aanduidt, samen met de service-naam, project-ID en regio-ID. Maar als blijkt dat een van deze stukken informatie incorrect is - zolang het project-ID maar klopt - dan redigeert het subdomein automatisch naar een standaardpagina in plaats van een 404-foutmelding. 

Deze praktijk - gekend als soft routing - zou oplichters in staat kunnen stellen om een grote hoeveelheid subdomeinen te maken, die allemaal naar één enkele kwaadaardige startpagina leiden. De pogingen die ondertussen worden ondernomen door veiligheidsprofessionals worden verhinderd door de gigantische hoeveelheid subdomeinen die leiden naar de gevaarlijke pagina. 

"Aanvragen worden ontvangen door elke versie die is geconfigureerd voor verkeer in de gerichte dienst. Als de server die je wilt bereiken niet bestaat, dan wordt de aanvraag via soft routing omgeleid", verduidelijkte Afrahim.

"Als een aanvraag overeenkomt met het PROJECT_ID.REGION_ID.r.appspot.com-gedeelte van de hostnaam, maar een dienst, versie of naam bevat die niet bestaat, dan wordt jouw aanvraag omgeleid naar de standaarddienst, die essentieel jouw standaard hostnaam van de app is."

Volgens veiligheidsonderzoeker Yusuke Osumi is de kwetsbaarheid zoals besproken door Afrahim al reeds in het wild uitgebuit. 

De onderzoeker tweette een lijst van meer dan 2.000 subdomeinen - automatisch gegenereerd door de domeingenerator van Google App Engine - die allemaal naar een phishing-startpagina leidden vermomd als een inlog-portaal van Microsoft.

Google heeft nog niet geantwoord op onze vraag voor commentaar rond wat er wordt gedaan om de kwetsbaarheid aan te pakken. 

Via Bleeping Computer

Joel Khalili
News and Features Editor

Joel Khalili is the News and Features Editor at TechRadar Pro, covering cybersecurity, data privacy, cloud, AI, blockchain, internet infrastructure, 5G, data storage and computing. He's responsible for curating our news content, as well as commissioning and producing features on the technologies that are transforming the way the world does business.