Ένα κρίσιμο zero-day bug που επηρέασε την Verisign και πολλές υπηρεσίες IaaS όπως οι Google, Amazon και DeigitalOcean άφησαν τους hackers να καταχωρήσουν ομόγραφα (homograph) domains (.com και .net).
Η επιτυχής καταχώρηση αυτών των ομόγραφων domain μοιάζει με τα ίδια γνωστά domains και τα sub domains που χρησιμοποιούνται για την εκτέλεση επιθέσεων social engineering και εσωτερικών επιθέσεων και είναι παρόμοια διαδικασία με την επίθεση IDN homograph.
Οι ερευνητές εντόπισαν αρκετά ομόγραφα dοmain που δραστηριοποιούνται από το 2017 με πιστοποιητικό HTTPS που μιμείται τα διάφορα domains που περιλαμβάνουν οικονομικά, αγορές στο internet, τεχνολογία και άλλα Fortune 100 sites.
Ο Matt Hamilton, ερευνητής από την Soluble, διαπίστωσε ότι αρκετά Generic top-level domains (gTLDs) είναι δυνατό να καταχωρηθούν χρησιμοποιώντας τον χαρακτήρα Unicode Latin IPA Extension και επίσης μπόρεσε να καταχωρίσει τα ακόλουθα ομόγραφα dοmains.
Τα παραπάνω καταχωρημένα ομόγραφα domains είναι ίδια οπτικά με τα αντίστοιχα original domains αλλά ουσιαστικά έχουν γίνει με την χρήση του Unicode Latin IPA.
Ομοίως, ο ερευνητής εξέτασε περίπου 300 σημαντικά dοmains και η ευπάθεια πιστεύεται ότι χρησιμοποιείται μόνο σε καμπάνιες social engineering υψηλής στοχοθέτησης που σκοπεύουν να εγκαταστήσουν malware και να κλέψουν ευαίσθητα δεδομένα.
Σύμφωνα με την αναλυτική έκθεση “Φαίνεται ότι η Verisign και άλλοι πάροχοι δεν γνώριζαν τα λεγόμενα “homoglyphs” μέσα στο σύνολο χαρακτήρων Unicode Latin IPA Extension”.
Καταχωρίστε το ομόγραφο dοmain με ένα μείγμα χαρακτήρων Unicode και Λατινικών
Βασικά, η Verisign εμποδίζει τους χρήστες να καταχωρούν τα domains που χρησιμοποιούν μεικτά scripts όπως το “gооgle.com” χρησιμοποιώντας κυριλλικά “о”.
Ωστόσο, λόγω του zero-day bug, ήταν δυνατή η καταχώρηση domain με ένα συνδυασμό χαρακτήρων Unicode και Λατινικών, εφόσον οι χαρακτήρες Unicode ήταν οι ίδιοι στα λατινικά.
“Οι εταιρείες όπως η Verisign, επιβάλλουν ρητά μέτρα κατά του homograph (ομογραφίας) (που απαγορεύουν τα μικτά scripts), επειδή δεν επιθυμούν παρόμοια domains στο gTLD. Οι δημόσιες υπηρεσίες που υπάρχουν σε ένα κοινόχρηστο root, όπως “s3.amazonaws.com”, “storage.googleapis.com” ή άλλες υπηρεσίες που επιτρέπουν στους χρήστες να δημιουργούν αυθαίρετα sub domains θα πρέπει να εφαρμόζουν τους ίδιους περιορισμούς” είπε ο ερευνητής.
Αυτό το bug δεν επηρέασε μόνο τα gTLDs της VeriSign αλλά πιθανότατα επηρεάζεται οποιοσδήποτε TLD που επιτρέπει τους λατινικούς χαρακτήρες IPA.
Αυτή η ευπάθεια θεωρείται zero day, δεδομένου ότι εντοπίστηκαν πολλαπλές εμφανίσεις των αρχείων καταγραφής πιστοποιητικών HTTPS μέσω της Διαφάνειας Πιστοποιητικών, καθώς και μια “ανεπίσημη” βιβλιοθήκη JavaScript που φιλοξενείται σε ένα “prominent domain”.
