For noen dager siden ble Løselige forskere ga ut sin nye oppdagelse de en ny måte å registrere domener med homoglyffer som ser ut som andre domener, men som faktisk er forskjellige på grunn av tilstedeværelsen av tegn med en annen betydning.
Nevnte internasjonaliserte domener (IDN) kan ved første øyekast ikke variere fra kjente firma- og tjenestedomener, slik at du kan bruke dem til spoofing, inkludert å motta de riktige TLS-sertifikatene for dem.
Vellykket registrering av disse domenene ser ut som de riktige domenene og velkjent, og brukes til å utføre sosialtekniske angrep på organisasjoner.
Matt Hamilton, forsker ved Soluble, identifiserte at det er mulig å registrere flere domener generisk toppnivå (gTLD) ved hjelp av Unicode Latin IPA-utvidelsestegnet (som ɑ og ɩ), og kunne også registrere følgende domener.
Klassisk erstatning via et tilsynelatende lignende IDN-domene har lenge blitt blokkert i nettlesere og registratorer på grunn av forbudet mot å blande tegn fra forskjellige alfabeter. For eksempel kan det falske domenet apple.com ("xn--pple-43d.com") ikke opprettes ved å erstatte latin "a" (U + 0061) med kyrillisk "a" (U + 0430), siden Mixing mestring av bokstaver fra forskjellige alfabeter er ikke tillatt.
I 2017 ble det oppdaget en måte å omgå slik beskyttelse ved å bruke bare unicode-tegn i domenet, uten å bruke det latinske alfabetet (for eksempel å bruke språktegn med tegn som ligner på latin).
Nå en annen metode for omgåelse av beskyttelse er funnet, basert på det faktum at registratorer blokkerer blanding av Latin og Unicode, men hvis Unicode-tegnene som er spesifisert i domenet, tilhører en gruppe latinske tegn, er slik blanding tillatt, siden tegnene tilhører samme alfabet.
Problemet er at Unicode Latin IPA-utvidelsen inneholder homoglyffer som i stavemåten ligner på andre latinske tegn: symbolet "ɑ" ligner "a", "ɡ" - "g", "ɩ" - "l".
Evnen til å registrere domener der latin er blandet med de angitte Unicode-tegnene ble identifisert med Verisign-registraren (ingen andre registratorer ble bekreftet), og underdomener ble opprettet i Amazon-, Google-, Wasabi- og DigitalOcean-tjenestene.
Selv om etterforskningen bare ble utført i Verisign-administrerte gTLD-er, er problemet Det ble ikke tatt i betraktning av gigantene i nettverket og til tross for varslene som ble sendt, tre måneder senere, i siste øyeblikk, ble den bare løst på Amazon og Verisign, da bare de spesielt tok problemet veldig alvorlig.
Hamilton holdt rapporten privat til Verisign, selskapet som administrerer domeneregistreringer for fremtredende toppdomeneutvidelser (gTLD) som .com og .net, løste problemet.
Forskerne lanserte også en online tjeneste for å verifisere domenene deres. på jakt etter mulige alternativer med homoglyffer, inkludert verifisering av allerede registrerte domener og TLS-sertifikater med lignende navn.
Når det gjelder HTTPS-sertifikater, ble det bekreftet 300 domener med homoglyfer gjennom Certificate Transparency-postene, hvorav 15 var registrert i genereringen av sertifikater.
Ekte Chrome- og Firefox-nettlesere viser lignende domener i adressefeltet i notasjonen med prefikset "xn--", men domenene ses imidlertid uten konvertering i lenkene, som kan brukes til å sette inn ondsinnede ressurser eller lenker på sider, under påskuddet for å laste dem ned fra legitime nettsteder.
For eksempel, i et av domenene identifisert med homoglyffer, ble spredningen av en ondsinnet versjon av jQuery-biblioteket registrert.
Under eksperimentet, forskere brukte $ 400 og registrerte følgende domener med Verisign:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- washingtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- www.gooɡleapis.com
- huffinɡtonpost.com
- instaram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Si du vil vite mer detaljer om det om dette funnet, kan du konsultere følgende lenke.