Een paar dagen geleden heeft de Oplosbare onderzoekers hebben hun nieuwe ontdekking vrijgegeven de een nieuwe manier om domeinen met homogliefen te registreren die op andere domeinen lijken, maar in feite verschillen door de aanwezigheid van karakters met een andere betekenis.
Genoemde geïnternationaliseerde domeinen (IDN) kan op het eerste gezicht niet verschillen van bekende bedrijfs- en servicedomeinen, zodat u deze kunt gebruiken voor spoofing, inclusief het ontvangen van de juiste TLS-certificaten ervoor.
Een succesvolle registratie van deze domeinen lijkt op de juiste domeinen en algemeen bekend, en worden gebruikt om social engineering-aanvallen op organisaties uit te voeren.
Matt Hamilton, een onderzoeker bij Soluble, stelde vast dat het mogelijk is om meerdere domeinen te registreren generiek topniveau (gTLD) met behulp van het Unicode Latin IPA-extensieteken (zoals ɑ en ɩ), en kon ook de volgende domeinen registreren.
De klassieke vervanging door een ogenschijnlijk vergelijkbaar IDN-domein is al lang geblokkeerd in browsers en registrars, vanwege het verbod op het combineren van tekens uit verschillende alfabetten. Het nepdomein apple.com ("xn--pple-43d.com") kan bijvoorbeeld niet worden gemaakt door het Latijnse "a" (U + 0061) te vervangen door het Cyrillische "a" (U + 0430), aangezien beheersing van letters uit verschillende alfabetten is niet toegestaan.
In 2017 werd een manier ontdekt om dergelijke bescherming te omzeilen door alleen Unicode-tekens in het domein te gebruiken, zonder het Latijnse alfabet te gebruiken (bijvoorbeeld taaltekens met Latijnse tekens).
nu er is een andere methode gevonden om de bescherming te omzeilen, gebaseerd op het feit dat registrars het mix van Latin en Unicode, maar als de Unicode-tekens die in het domein zijn gespecificeerd tot een groep Latijnse tekens behoren, is een dergelijke vermenging toegestaan, aangezien de tekens tot hetzelfde alfabet behoren.
Het probleem is dat de Unicode Latin IPA-extensie bevat homogliefen die qua spelling vergelijkbaar zijn met andere Latijnse karakters: het symbool "ɑ" lijkt op "a", "ɡ" - "g", "ɩ" - "l".
De mogelijkheid om domeinen te registreren waarin Latijn is vermengd met de aangegeven Unicode-tekens, werd geïdentificeerd met de Verisign-registrar (er zijn geen andere registrars geverifieerd) en er zijn subdomeinen gemaakt in de services Amazon, Google, Wasabi en DigitalOcean.
Hoewel het onderzoek alleen werd uitgevoerd op door Verisign beheerde gTLD's, is het probleem de reuzen van het netwerk hielden er geen rekening mee en ondanks de meldingen die drie maanden later, op het laatste moment, werden verzonden, werd het alleen opgelost bij Amazon en Verisign, omdat alleen zij het probleem zeer serieus namen.
Hamilton hield zijn rapport privé totdat Verisign, het bedrijf dat domeinregistraties beheert voor prominente top-level domeinextensies (gTLD's) zoals .com en .net, het probleem oploste.
De onderzoekers lanceerden ook een online dienst om hun domeinen te verifiëren. zoeken naar mogelijke alternatieven met homogliefen, inclusief verificatie van reeds geregistreerde domeinen en TLS-certificaten met vergelijkbare namen.
Met betrekking tot HTTPS-certificaten werden via de Certificate Transparency-records 300 domeinen met homogliefen geverifieerd, waarvan er 15 werden geregistreerd bij het genereren van certificaten.
Echte Chrome- en Firefox-browsers tonen vergelijkbare domeinen in de adresbalk in de notatie met het voorvoegsel 'xn--', maar de domeinen worden gezien zonder conversie in de links, die kunnen worden gebruikt om kwaadaardige bronnen of links in pagina's in te voegen, onder de voorwendsel om ze van legitieme sites te downloaden.
In een van de domeinen die zijn geïdentificeerd met homogliefen, werd bijvoorbeeld de verspreiding van een kwaadaardige versie van de jQuery-bibliotheek geregistreerd.
Tijdens het experiment onderzoekers gaven $ 400 uit en registreerden de volgende domeinen met Verisign:
- amzon.com
- kies.com
- sɑlesforce.com
- mɑil.com
- ppɩe.com
- ebɑy.com
- static.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washintonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooleapis.com
- huffinɡtonpost.com
- instagram.com
- microsoftonɩine.com
- mɑzonɑws.com
- droid.com
- netfɩix.com
- nvidiɑ.com
- oogɩe.com
Si u wilt er meer details over weten over deze vondst kunt u raadplegen de volgende link.