Een onderzoeker heeft een eigenaardigheid gevonden in de manier waarop Google App Engine omgaat met subdomeinen die ervoor zorgt dat oplichters onopvallend e-mail (opens in new tab)-phishing-campagnes kunnen opzetten.
In normale scenario's wordt Google App Engine gebruikt op webapplicaties te ontwikkelen en hosten. Volgens veiligheidsonderzoeker Marcel Afrahim kan het cloud-based platform echter ook worden misbruikt om veiligheidscontroles te omzeilen en slachtoffers naar kwaadaardige webpagina's te trechteren.
Het issue ligt bij de manier waarop het platform subdomeinen genereert en bezoekers begeleidt. Door een reeks invalide subdomeinen op te stellen, die allemaal automatisch omleidingen voorzien naar een centrale kwaadaardige applicatie, kunnen aanvallers hun activiteiten makkelijk verbergen.
- Dit is onze lijst met de beste tools voor webontwikkelaars (opens in new tab)
- Check hier onze lijst met de beste antivirus-software
- We hebben een lijst met de beste e-mailclients beschikbaar
Email phishing
Traditiegetrouw beschermen veiligheidsprofessionals gebruikers van kwaadaardige applicaties door het identificeren en blokkeren van aanvragen van en naar gevaarlijke subdomeinen. De manier waarop Google App Engine echter URL's van subdomeinen genereert, maakt dit proces veel meer uitdagend.
Elk subdomein dat via het platform wordt gemaakt bevat een markering die de versie van de app aanduidt, samen met de service-naam, project-ID en regio-ID. Maar als blijkt dat een van deze stukken informatie incorrect is - zolang het project-ID maar klopt - dan redigeert het subdomein automatisch naar een standaardpagina in plaats van een 404-foutmelding.
Deze praktijk - gekend als soft routing - zou oplichters in staat kunnen stellen om een grote hoeveelheid subdomeinen te maken, die allemaal naar één enkele kwaadaardige startpagina leiden. De pogingen die ondertussen worden ondernomen door veiligheidsprofessionals worden verhinderd door de gigantische hoeveelheid subdomeinen die leiden naar de gevaarlijke pagina.
"Aanvragen worden ontvangen door elke versie die is geconfigureerd voor verkeer in de gerichte dienst. Als de server die je wilt bereiken niet bestaat, dan wordt de aanvraag via soft routing omgeleid", verduidelijkte Afrahim.
"Als een aanvraag overeenkomt met het PROJECT_ID.REGION_ID.r.appspot.com-gedeelte van de hostnaam, maar een dienst, versie of naam bevat die niet bestaat, dan wordt jouw aanvraag omgeleid naar de standaarddienst, die essentieel jouw standaard hostnaam van de app is."
Volgens veiligheidsonderzoeker Yusuke Osumi is de kwetsbaarheid zoals besproken door Afrahim al reeds in het wild uitgebuit.
De onderzoeker tweette een lijst van meer dan 2.000 subdomeinen - automatisch gegenereerd door de domeingenerator van Google App Engine - die allemaal naar een phishing-startpagina leidden vermomd als een inlog-portaal van Microsoft.
Google heeft nog niet geantwoord op onze vraag voor commentaar rond wat er wordt gedaan om de kwetsbaarheid aan te pakken.
- Hier is een lijst met de beste email hosting (opens in new tab) providers die er zijn
Via Bleeping Computer (opens in new tab)