Unicode同形字符域漏洞
日期:2020-04-20  来源:[db:来源] 

漏洞综述

从2017年到今天,已有十二个同形字符域拥有有效的HTTPS证书。其中包括金融,互联网购物,专业技术和《财富》100强网站,该技术已用于针对性强的社会工程学网络攻击活动中。下表显示了“外观相似”Unicode Latin IPA Extension同形符及其对应拉丁字符:

“ɡ”是具有迷惑性的字符,通常与拉丁语的对应字符无法区分。

“ɑ”当不与拉丁字母“a”相邻时也容易被错认。

“ɩ”在某些系统和字体上,这个字符看起来与小写字母“L”非常相似,但这个字符可以辨别出来。

同形异义字符攻击不是最新的技术,这种攻击手段已经出现了很多年,并且域提供商已经采取了防范措施,包括限制某些字符的使用并禁止使用混合字符,例如Latin和Cyrillic。但是Verisign和其他域提供商尚未意识到Unicode Latin IPA Extension字符集中的同形字符。

漏洞披露

Verisign和IaaS服务(Google,Amazon,Wasabi,DigitalOcean)已获悉此漏洞。据发现从2017年至今,第三方已经使用这种字符为300个测试域中的15个注册并生成了HTTPS证书。此外,还发现了一个同形字符域包含一个非官方的恶意jQuery库。

披露时间表如下所示:

2019年11月22日:发现漏洞

2019年11月23日—2020年2月2日:提交亚马逊漏、Google、Wasabi、Verisign、DigitalOcean洞报告并确认

2020年2月10日:通知Verisign已注册的同形字符域。

2020年2月13日:Verisign,Google,Amazon,Wasabi,DigitalOcean收到了0day重新分类的通知

2020年2月14日:由于Verisign未及时回应,美国CERT已协助修复漏洞

2020年2月20日:向ICANN提供有关IDN修订草案,延长了披露期限

2020年2月24日:Amazon更改了S3 存储服务名称验证策略,防止注册以“ xn--”开头的存储服务名称

2020年3月3日:Verisign实施了针对“ .com”和“ .net”的缓解措施,防止注册带有同形字符的域

2020年3月4日:公开披露

gTLD域名

在撰写本文时,可以使用上述Unicode拉丁IPA扩展字符来注册同形域名,为了防止恶意第三方注册,研究人员使用IPA扩展字符注册了以下域:

amɑzon.com**

chɑse.com

sɑlesforce.com

ɡmɑil.com

ɑppɩe.com

ebɑy.com

ɡstatic.com

steɑmpowered.com

theɡuardian.com

theverɡe.com

washinɡtonpost.com

pɑypɑɩ.com

wɑlmɑrt.com

wɑsɑbisys.com

yɑhoo.com

cɩoudfɩare.com

deɩɩ.com

gmɑiɩ.com

gooɡleapis.com

huffinɡtonpost.com

instaɡram.com

microsoftonɩine.com

ɑmɑzonɑws.com**

ɑndroid.com

netfɩix.com

nvidiɑ.com

ɡoogɩe.com

Verisign禁止使用混合字符注册域名。 例如,不可能使用西里尔字母“о”注册“gооgle.com”之类的域名,但大多数注册服务机构都可以申请混合字符域名。虽然不能使用混合字符注册,但可以使用Unicode和拉丁字符混合注册域,只要Unicode字符本身就是拉丁字符即可。 Verisign的拉丁字母允许表中列出了此通报中讨论的同形符号,Verisign通过删除这些字符来修补此漏洞,他们会很快更新此表。

建议措施

应防止注册包含Unicode Latin IPA Extension同形字符的域名,建议组织检查其域的同形排列和相关的证书,相关辅助工具

子域

像Verisign这样的注册商不希望在顶级域名(gTLD)中存在相似的域名,因此会明确禁止使用混合字符。与此同时一些子域上的服务(例如“ s3.amazonaws.com”,“ storage.googleapis.com”)或其他允许用户创建任意子域的服务也应有相同的限制。

Google了解此相似域会存在社会工程攻击的风险,特别禁止创建名称为“ google”的存储服务,并且存储服务名称不能包含“ google”或近似得拼写错误,例如“ g00gle”。但是Google允许注册使用Unicode拉丁IPA扩展同形字符的存储服务名称。此外与gTLD注册域名不同,Google允许注册包含混合字符的存储服务名称。

建议措施

应以与Verisign限制域名注册相同的机制来限制子域服务注册,应当拒绝包含混合字符的任何子域以及同形字符。另一种补救措施是采用Amazon用于限制S3存储服务名注册的方法,拒绝所有以前缀“ xn--”开头的存储服务名。(来源:FreeBuf.COM​)

收藏本页