漏洞使攻击者可以注册合法Web域的恶意外观

据主要安全研究人员Matt Hamilton称,由于Verisign和一些IaaS服务,网络罪犯能够注册仿制合法突出站点的恶意通用顶级域(gTLD)和子域,从而允许使用与拉丁字母非常相似的特定字符在可溶性。

注册恶意域名

为了证明这些政策的危险性,他通过混合使用拉丁语和Unicode拉丁语IPA注册了25个以上类似于各种流行域的域 字形 字符。

“此漏洞类似于 IDN同形文字攻击 并带来所有相同的风险。攻击者可以注册一个在外观上与其合法对等物相同的域或子域,并对组织进行社交工程或内部人员攻击,” he pointed out.

一些单应域已经被注册

在这项研究中,他还发现,自2017年以来,有十多个模仿著名的金融,互联网购物,技术和其他《财富》 100强网站的同形异义域拥有有效的HTTPS证书。– meaning: they’已经注册。

“此活动没有合法或不欺诈的理由(不包括我为负责任的披露而进行的研究),” Hamilton 注意到的,并且认为该技术已用于针对性强的社交工程活动中。

他还发现,例如Google还允许注册使用Unicode拉丁IPA扩展同构字符的存储桶名称。实际上,它还允许注册包含混合脚本(例如拉丁字母和西里尔字母)的子域,这也应该是不可以的。

缓解和补救

汉密尔顿联系威瑞信(Verisign( .com。净 域)和Google,亚马逊,Wasabi和DigitalOcean(IaaS提供商)在2019年末分享了他的发现。

每个人都确认已收到负责任的披露报告,但只有Amazon和Verisign(到目前为止)对此问题有所作为。

“维护我们运营的关键基础架构的稳定性,安全性和弹性是我们的首要任务。汉密尔顿先生描述的基本问题已为全球互联网社区所广泛理解,并且是ICANN积极制定政策的主题,但我们感谢他及时提供有关如何利用此问题的更多详细信息,”威瑞信发言人指出。

“尽管我们了解到ICANN一直在全球范围内解决这些问题,但我们也已经主动更新了系统并获得了ICANN的必要批准,以实施对ICANN的变更。 .com。净 汉密尔顿先生的报告中详细说明了防止特定类型的易混淆同形异义字注册所需的顶级域名。

亚马逊改变了它 S3斗 名称验证策略,用于防止以punycode前缀“ xn--”开头的存储桶名称注册,从而阻止使用这些名称和所有其他Unicode象形文字。

汉密尔顿还指出,任何允许拉丁IPA字符的TLD都可能受到此漏洞的影响,但是互联网上大多数最受欢迎的网站都使用gTLD(即 .com)。

他建议发现某人已注册其域之一的同形异义词的用户向相关组织提交滥用报告。

他还承诺很快将提供一种工具,该工具将帮助组织为自己的领域生成同形图,并发现它们是否’在最近几年已经注册。

分享这个