امکان ثبت دامنه مخرب در سرویسهای VERISIGN و IAAS با استفاده از یک آسیبپذیری روز صفرم
یک #آسیبپذیری روز صفرم بحرانی که سرویسهای Verisign و IaaS متعددی مانند گوگل، آمازون DeigitalOcean را تحت تاثیر قرار میدهد امکان ثبت دامنههای مخرب homograph توسط مهاجمان را فراهم میکند. ثبت موفقیتآمیز این دامنهها که ظاهری مشابه دامنهها و زیردامنه های شناخته شده دارند، منجر به حملاتی مشابه IDN Homograph attack و یا مهندسی اجتماعی کاربران خواهد شد.
به گفته محققان دامنههای homograph متعددی که گواهینامههای HTTPS نیز دارند، از سال 2017 فعال بوده و اغلب ظاهری مشابه دامنههای مربوط به خرید اینترنتی، تکنولوژی و غیره دارند. تعداد زیادی از این دامنهها را میتوان با استفاده از کاراکترهایی که ظاهر مشابه و معنی متفاوت دارند، تولید کرد. محقق امنیتی در Soluble به نام Matt Hamilton دامنههای زیر را به ثبت رسانده است:
amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com
nvidiɑ.com
ɡoogɩe.com
دامنه های homograph فوق تا حد زیادی مشابه دامنههای اصلی هستند و این موضوع میتواند موجب گمراهی کاربر شود؛ همچنین با به کارگیری مهندسی اجتماعی توسط مهاجمان میتواند برای نصب بدافزار و یا سرقت اطلاعات مورد استفاده قرار گیرد. ثبت دامنههای فوق نشان میدهد که ثبت دامنههایی که ترکیبی از کاراکترهای لاتین و Unicode هستند درصورت لاتین بودن خود کاراکتر Unicode امکانپذیر است.
این آسیبپذیری همهی Verisignهایی که از هر نوع سرویس TLD (با امکان پشتیبانی از کاراکترهای لاتین IPA نظیر gTLD) استفاده میکنند را تحت تاثیر قرار میدهد. از آنجایی که موارد متعددی از گواهینامه HTTPS از طریق Certificate Transparency شناسایی شدند و یک کتابخانه غیررسمی جاوااسکریپت نیز به عنوان یک دامنه حساس به ثبت رسیده، میتوان این آسیبپذیری را یک آسیبپذیری روز صفرم تلقی کرد.
1 مراجع
[1] https://gbhackers.com/homograph-domains/