viernes, 6 de marzo de 2020

Vulnerabilidad permitía registrar sitios “URL” casi similares y/o certificado SSL a los originales



¿Crees que solo con revisar la URL del sitio web o ver el certificado SSL del sitio se trata de un sitio “autentico”? deberías replantearte esta rutina, ya que se dio a conocer un nuevo fallo que permitía registrar nombres de dominio que son visualmente similares a los auténticos.

Si bien los ataques homográficos no son nada nuevo y los navegadores web los expondrán reemplazando los caracteres Unicode con Punycode en la barra de direcciones el conjunto de caracteres de extensión Unicode Latin IPA no estaba ' t bloqueado.


Una nueva vulnerabilidad descubierta el investigador de seguridad de Soluble, Matt Hamilton que afecta a Verisign y a varios servicios SaaS, permitía registrar nombres de dominio .com y .net homógrafos (entre otros) que podrían usarse en ataques internos, de phishing y de ingeniería social contra organizaciones.

Antes de que se revelara esta falla en colaboración con la firma de pruebas de seguridad Bishop Fox para los servicios Verisign y SaaS, cualquiera podía registrar nombres de dominio homográficos en gTLD (.com, .net y más) y subdominios dentro de algunas compañías SaaS utilizando homoglifos.

"Algunos de estos proveedores respondieron y participaron en un diálogo productivo, aunque otros no respondieron o no quisieron solucionar el problema", dice Hamilton.
En este momento, solo Verisign y Amazon (S3) han solucionado este problema, con Verisign implementando cambios en las reglas de registro de gTLD para bloquear el registro de dominios utilizando estos homoglifos.

La vulnerabilidad fue descubierta por Hamilton después de intentar registrar dominios utilizando caracteres de homoglifos latinos (es decir, homoglifos de extensión Unicode Latin IPA).
El abuso de esta vulnerabilidad de registro de dominio puede conducir a ataques muy similares a los ataques de homógrafos IDN, presentando el mismo rango de riesgos.

Los ataques con homógrafos ocurren cuando los actores de amenazas registran nuevos dominios que se parecen mucho y a veces, son idénticos a los de organizaciones y empresas conocidas y les asignan certificados válidos.

Por lo general, se usan como parte de campañas de estafa que se basan en estos dominios similares para redirigir a las posibles víctimas a sitios que entregan malware o intentan robar sus credenciales.

Los nombres de dominio homográficos registrados al abusar de esta vulnerabilidad probablemente se usaron como parte de campañas de ingeniería social altamente dirigidas dirigidas a empleados de organizaciones gubernamentales y privadas de alto perfil en lugar de campañas de phishing comunes dirigidas a víctimas aleatorias.

Como parte del proceso de investigación, Hamilton también registró los siguientes dominios homográficos utilizando caracteres de homoglifo de extensión de IPA latino Unicode para mostrar el impacto que podrían tener si se usan con fines maliciosos (algunos de ellos ya se han transferido a los propietarios de los dominios no homográficos ):

  • amɑzon.com
  • Chɑse.com
  • Sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡuardian.com
  • theverɡe.com
  • Washinɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑndroid.com
  • netfɩix.com


Share:

0 comentarios:

Publicar un comentario

Seguidores