5 mar. 2020

Zero-Day permite registrar dominios maliciosos similares a Verisign, Google y Amazon

Una vulnerabilidad 0-Day crítica que afectó a Verisign y a múltiples compañías de servicios de IaaS como Google, Amazon y DeigitalOcean permitieron a los atacantes registrar nombres de dominio homográficos (.com y .net).

El registro exitoso de estos dominios se parece a los dominios correctos y bien conocidos, y son utilizados para realizar ataques de ingeniería social a las organizaciones.

Los investigadores identificaron que varios dominios homográficos están activos desde 2017, incluso con certificados HTTPS y que imitan a dominios de diversos sectores financieros, de compras por Internet, de tecnología y otros sitios de Fortune 100.

Matt Hamilton, un investigador de Soluble, identificó que es posible registrar varios dominios genéricos de nivel superior (gTLD) utilizando el carácter de extensión de Unicode Latin IPA (como ɑ y ɩ), y también pudo registrar los siguientes dominios.

amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com**
ɑndroid.com
netfɩix.com
nvidiɑ.com
ɡoogɩe.com 
De manera similar, el investigador probó cerca de 300 dominios prominentes y se cree que la vulnerabilidad solo se usó en campañas de ingeniería social altamente específicas que instalan malware y roban datos confidenciales.

De acuerdo con el informe "Parece que Verisign y otros proveedores no han tenido en cuenta el juego de caracteres de extensión de Unicode Latin IPA y permitían registros de dominios homográficos". Básicamente, Verisign evita que los usuarios registren los dominios que usaron secuencias de comandos mixtas, como "gооgle.com", usando letras cirílicas similares a la "о". Pero, debido a esta vulnerabilidad, fue posible registrar dominios con una mezcla de caracteres Unicode latinos.

Este error no solo afectó a los gTLD de VeriSign, sino que es probable que cualquier TLD que permita caracteres latinos IPA se vea afectado.



Fuente: gHackers

1 comentario:

  1. Anónimo5/3/20 18:30

    Esto fue descubierto hace más tiempo sino que no se hablo mucho, vean esta charla super interesante de la RootedCON:
    https://www.youtube.com/watch?v=JGb81yB4tAI

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!