Kerentanan 0-day yang memengaruhi Verisign dan beberapa layanan SaaS termasuk Google, Amazon, dan DigitalOcean memungkinkan penyerang untuk mendaftarkan nama domain berbahaya dengan ekstensi .com dan .net yang mana biasa digunakan untuk serangan insider, phishing, dan social engineering.
Bug ini diungkap oleh peneliti keamanan Soluble, Matt Hamilton yang bekerja sama dengan perusahaan penguji keamanan Bishop Fox ke layanan Verisign dan SaaS lainnya.
“Beberapa vendor ini responsif dan terlibat dalam dialog yang produktif, meskipun yang lain belum menanggapi atau mungkin tidak ingin memperbaiki masalah,” kata Hamilton.
Saat artikel ini diterbitkan, hanya Verisign dan Amazon (S3) yang telah mengatasi masalah ini, dengan Verisign menyebarkan perubahan pada peraturan pendaftaran gTLD untuk memblokir pendaftaran domain menggunakan karakter homoglyph.
Masalah ini ditemukan oleh Hamilton setelah mencoba mendaftarkan domain menggunakan karakter homoglyph Latin (mis., Unicode Latin IPA Extension homoglyph).
Domain berbahaya pastinya digunakan untuk tujuan jahat
Menyalahgunakan masalah pendaftaran domain ini dapat menyebabkan serangan yang sangat mirip dengan serangan IDN homograph, menghadirkan berbagai risiko yang sama.
https://errorcybernews.id/2017/07/16/idn-homograph-attack-phising/
Serangan homograph terjadi ketika penyerang mendaftarkan domain baru yang terlihat sangat mirip dan kadang-kadang terlihat identik dengan yang dimiliki organisasi dan perusahaan, juga memberikan mereka sertifikat yang valid.
Mereka biasanya digunakan sebagai bagian dari serangkaian penipuan yang mengandalkan domain mirip organisasi/perusahaan besar ini untuk mengarahkan calon korban ke situs yang berisi malware atau berusaha mencuri kredensial korbannya.
Sementara serangan homograph itu bukanlah hal yang baru dan browser web akan mengeksposnya dengan mengganti karakter Unicode dengan Punycode di bilah alamat, dan Verisign serta penyedia serupa memiliki aturan yang memblokir pendaftaran domain homograph, rangkaian karakter Unicode Latin IPA Extension tidak diblokir sampai adanya laporan dari Hamilton.
Penyerang mulai menyalahgunakan bug ini pada tahun 2017
Setelah mendaftarkan domain atau subdomain yang tidak dapat dibedakan dari domain organisasi/perusahaan besar, penyerang dapat meluncurkan sejumlah serangan yang memanfaatkan hal ini, termasuk tetapi tidak terbatas pada phishing dan serangan social engineering terhadap karyawan, pelanggan, atau pengguna organisasi yang domainnya dipalsukan.
“Antara 2017 dan hari ini, lebih dari selusin domain berbahaya telah memiliki sertifikat HTTPS aktif,” kata Hamilton. “Ini termasuk situs keuangan, e-commerce, teknologi, dan 100 situs Fortune lainnya.”
Dia juga menemukan bahwa “pihak ketiga telah mendaftar dan mengeluarkan sertifikat HTTPS untuk 15 dari 300 domain yang diuji menggunakan teknik homoglyph ini.”
“Selain itu, satu contoh dari domain homoglyph yang menampung library jQuery berbahaya yang tidak resmi pun ditemukan.” tambah Hamilton.
Sebagai bagian dari proses penelitian, Hamilton juga mendaftarkan domain berbahaya berikut menggunakan karakter homoglyph Unicode Latin IPA Extension untuk menunjukkan dampak yang mereka dapat jika digunakan untuk tujuan jahat:
amɑzon.com Chɑse.com Sɑlesforce.com ɡmɑil.com ɑppɩe.com ebɑy.com ɡstatic.com steɑmpowered.com theɡuardian.com theverɡe.com Washinɡtonpost.com pɑypɑɩ.com wɑlmɑrt.com wɑsɑbisys.com yɑhoo.com cɩoudfɩare.com deɩɩ.com gmɑiɩ.com gooɡleapis.com huffinɡtonpost.com instaɡram.com microsoftonɩine.com ɑmɑzonɑws.com ɑndroid.com netfɩix.com
Setelah bug 0-day ini diungkap, alat untuk menghasilkan permutasi domain menggunakan karakter homoglyph dan untuk memeriksa log transparansi sertifikat juga dibuat dan sekarang sudah tersedia online: http://homoglyphs.storage.googleapis.com/index.html
