Un chercheur a découvert une bizarrerie dans la façon dont Google App Engine gère les sous-domaines qui pourraient permettre aux escrocs de lancer des campagnes d'e-mails de phishing sans être détectés. Dans des scénarios légitimes, Google App Engine est utilisé pour développer et héberger des applications Web. Cependant, selon le chercheur en sécurité Marcel Afrahim, la plate-forme basée sur le cloud peut également être utilisée abusivement pour contourner les contrôles de sécurité et diriger les victimes vers des pages de destination malveillantes. Le problème réside dans la façon dont la plateforme génère des sous-domaines et route les visiteurs. En configurant une série de sous-domaines invalides, qui redirigent tous automatiquement vers une application malveillante centrale, les attaquants peuvent facilement masquer leur activité.
Hameçonnage par e-mail
Traditionnellement, les professionnels de la sécurité ont protégé les utilisateurs contre les applications malveillantes en identifiant et en bloquant les requêtes vers et depuis les sous-domaines dangereux. Cependant, la façon dont Google App Engine génère des URL de sous-domaine rend ce processus beaucoup plus difficile. Chaque sous-domaine créé avec la plateforme contient une balise qui affiche la version de l'application, le nom du service, l'ID du projet et l'ID de la région. Mais si l'une de ces informations n'est pas valide, tant que l'ID du projet est correct, le sous-domaine redirige automatiquement vers une page par défaut au lieu d'afficher un message d'erreur 404. Cette pratique, connue sous le nom de routage souple, pourrait permettre aux criminels de créer un grand nombre de sous-domaines, qui mènent tous à une seule page de destination malveillante. Les tentatives des professionnels de la sécurité, quant à elles, sont entravées par le volume considérable de sous-domaines menant à la page dangereuse. "Les requêtes sont reçues par n'importe quelle version configurée pour le trafic sur le service cible. Si le flux ciblé n'existe pas, la demande est acheminée de manière flexible », a expliqué Afrahim. "Si une demande correspond à la partie PROJECT_ID.REGION_ID.r.appspot.com du nom d'hôte, mais inclut un service, une version ou un nom d'instance qui n'existe pas, la demande est acheminée vers le service par défaut, qui est essentiellement votre service par défaut nom d'hôte de l'application." Selon le chercheur en sécurité Yusuke Osumi, la vulnérabilité identifiée par Afrahim est déjà exploitée à l'état sauvage. Le chercheur a tweeté une liste de plus de 2.000 XNUMX sous-domaines, générés automatiquement à l'aide du générateur de domaine de Google App Engine, qui ont tous conduit à une page de destination de phishing se faisant passer pour un portail de connexion Microsoft. Google n'a pas encore répondu à notre demande de commentaires sur ce qui pourrait être fait pour remédier à la vulnérabilité. Grâce à un ordinateur qui sonne