یک #آسیبپذیری روز صفرم بحرانی که سرویسهای Verisign و IaaS متعددی مانند گوگل، آمازون DeigitalOcean را تحت تاثیر قرار میدهد امکان ثبت دامنههای مخرب homograph توسط مهاجمان را فراهم میکند. ثبت موفقیتآمیز این دامنهها که ظاهری مشابه دامنهها و زیردامنه های شناخته شده دارند، منجر به حملاتی مشابه IDN Homograph attack و یا مهندسی اجتماعی کاربران خواهد شد.
به گفته محققان دامنههای homograph متعددی که گواهینامههای HTTPS نیز دارند، از سال 2017 فعال بوده و اغلب ظاهری مشابه دامنههای مربوط به خرید اینترنتی، تکنولوژی و غیره دارند. تعداد زیادی از این دامنهها را میتوان با استفاده از کاراکترهایی که ظاهر مشابه و معنی متفاوت دارند، تولید کرد. محقق امنیتی در Soluble به نام Matt Hamilton دامنههای زیر را به ثبت رسانده است:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡuardian.com
- theverɡe.com
- washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooɡleapis.com
- huffinɡtonpost.com
- instaɡram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑndroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
دامنه های homograph فوق تا حد زیادی مشابه دامنههای اصلی هستند و این موضوع میتواند موجب گمراهی کاربر شود؛ همچنین با به کارگیری مهندسی اجتماعی توسط مهاجمان میتواند برای نصب بدافزار و یا سرقت اطلاعات مورد استفاده قرار گیرد. ثبت دامنههای فوق نشان میدهد که ثبت دامنههایی که ترکیبی از کاراکترهای لاتین و Unicode هستند درصورت لاتین بودن خود کاراکتر Unicode امکانپذیر است.
این آسیبپذیری همهی Verisignهایی که از هر نوع سرویس TLD (با امکان پشتیبانی از کاراکترهای لاتین IPA نظیر gTLD) استفاده میکنند را تحت تاثیر قرار میدهد. از آنجایی که موارد متعددی از گواهینامه HTTPS از طریق Certificate Transparency شناسایی شدند و یک کتابخانه غیررسمی جاوااسکریپت نیز به عنوان یک دامنه حساس به ثبت رسیده، میتوان این آسیبپذیری را یک آسیبپذیری روز صفرم تلقی کرد.
منبع:
- 12