Il y a quelques jours, le Les chercheurs solubles ont publié leur nouvelle découverte de une nouvelle façon d'enregistrer des domaines avec des homoglyphes qui ressemblent à d'autres domaines, mais qui diffèrent en fait en raison de la présence de caractères avec une signification différente.
Dit domaines internationalisés (IDN) peut à première vue ne pas différer à partir de domaines de société et de services connus, ce qui vous permet de les utiliser pour l'usurpation d'identité, y compris la réception des certificats TLS appropriés pour eux.
L'enregistrement réussi de ces domaines ressemble aux domaines appropriés et bien connus, et sont utilisés pour mener des attaques d'ingénierie sociale contre des organisations.
Matt Hamilton, un chercheur chez Soluble, a identifié qu'il est possible d'enregistrer plusieurs domaines générique de premier niveau (gTLD) utilisant le caractère d'extension Unicode Latin IPA (tel que ɑ et ɩ), et a également pu enregistrer les domaines suivants.
La substitution classique par un domaine IDN apparemment similaire a longtemps été bloquée dans les navigateurs et les bureaux d'enregistrement, en raison de l'interdiction de mélanger des caractères d'alphabets différents. Par exemple, le faux domaine apple.com ("xn--pple-43d.com") ne peut pas être créé en remplaçant le latin "a" (U + 0061) par le cyrillique "a" (U + 0430), depuis le mixage la maîtrise des lettres de différents alphabets n'est pas autorisée.
En 2017, un moyen de contourner une telle protection a été découvert en utilisant uniquement des caractères Unicode dans le domaine, sans utiliser l'alphabet latin (par exemple, en utilisant des caractères de langue avec des caractères similaires au latin).
maintenant une autre méthode de contournement de la protection a été trouvée, basé sur le fait que les bureaux d'enregistrement bloquent mélange de latin et d'Unicode, mais si les caractères Unicode spécifiés dans le domaine appartiennent à un groupe de caractères latins, un tel mélange est autorisé, puisque les caractères appartiennent au même alphabet.
Le problème est que l'extension Unicode Latin IPA contient des homoglyphes similaires dans l'orthographe à d'autres caractères latins: le symbole "ɑ" ressemble à "a", "ɡ" - "g", "ɩ" - "l".
La possibilité d'enregistrer des domaines dans lesquels le latin est mélangé avec les caractères Unicode indiqués a été identifiée avec le bureau d'enregistrement Verisign (aucun autre bureau d'enregistrement n'a été vérifié), et des sous-domaines ont été créés dans les services Amazon, Google, Wasabi et DigitalOcean.
Bien que l'enquête n'ait été menée que dans des gTLD gérés par Verisign, le problème Il n'a pas été pris en compte par les géants du réseau et malgré les notifications envoyées, trois mois plus tard, à la dernière minute, il n'a été corrigé que chez Amazon et Verisign car eux seuls en particulier ont pris le problème très au sérieux.
Hamilton a gardé son rapport privé jusqu'à ce que Verisign, la société qui gère les enregistrements de domaine pour les extensions de domaine de premier niveau (gTLD) importantes telles que .com et .net, résolve le problème.
Les chercheurs ont également lancé un service en ligne pour vérifier leurs domaines. recherche d'alternatives possibles avec les homoglyphes, y compris la vérification des domaines déjà enregistrés et des certificats TLS avec des noms similaires.
En ce qui concerne les certificats HTTPS, 300 domaines avec des homoglyphes ont été vérifiés via les enregistrements de transparence des certificats, dont 15 ont été enregistrés lors de la génération des certificats.
Les vrais navigateurs Chrome et Firefox affichent des domaines similaires dans la barre d'adresse dans la notation avec le préfixe «xn-», cependant, les domaines sont vus sans conversion dans les liens, qui peuvent être utilisés pour insérer des ressources ou des liens malveillants dans pages, sous prétexte de les télécharger à partir de sites légitimes.
Par exemple, dans l'un des domaines identifiés par des homoglyphes, la propagation d'une version malveillante de la bibliothèque jQuery a été enregistrée.
Au cours de l'expérience, les chercheurs ont dépensé 400 $ et ont enregistré les domaines suivants avec Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- mɑil.com
- ppɩe.com
- ebɑy.com
- static.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- www.huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- mɑzonɑws.com
- ndroid.com
- netfɩix.com
- nvidiɑ.com
- oogɩe.com
Si vous voulez en savoir plus à propos de cette découverte, vous pouvez consulter le lien suivant.