PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Kerentanan 0-day yang memengaruhi Verisign dan beberapa layanan SaaS termasuk Google, Amazon, dan DigitalOcean memungkinkan penyerang untuk mendaftarkan nama domain berbahaya dengan ekstensi .com dan .net yang mana biasa digunakan untuk serangan insider, phishing, dan social engineering.

Bug ini diungkap oleh peneliti keamanan Soluble, Matt Hamilton yang bekerja sama dengan perusahaan penguji keamanan Bishop Fox ke layanan Verisign dan SaaS lainnya.

Beberapa vendor ini responsif dan terlibat dalam dialog yang produktif, meskipun yang lain belum menanggapi atau mungkin tidak ingin memperbaiki masalah,” kata Hamilton.

Saat artikel ini diterbitkan, hanya Verisign dan Amazon (S3) yang telah mengatasi masalah ini, dengan Verisign menyebarkan perubahan pada peraturan pendaftaran gTLD untuk memblokir pendaftaran domain menggunakan karakter homoglyph.

Masalah ini ditemukan oleh Hamilton setelah mencoba mendaftarkan domain menggunakan karakter homoglyph Latin (mis., Unicode Latin IPA Extension homoglyph).

Domain berbahaya pastinya digunakan untuk tujuan jahat

Menyalahgunakan masalah pendaftaran domain ini dapat menyebabkan serangan yang sangat mirip dengan serangan IDN homograph, menghadirkan berbagai risiko yang sama.

https://errorcybernews.id/2017/07/16/idn-homograph-attack-phising/

Serangan homograph terjadi ketika penyerang mendaftarkan domain baru yang terlihat sangat mirip dan kadang-kadang terlihat identik dengan yang dimiliki organisasi dan perusahaan, juga memberikan mereka sertifikat yang valid.

Mereka biasanya digunakan sebagai bagian dari serangkaian penipuan yang mengandalkan domain mirip organisasi/perusahaan besar ini untuk mengarahkan calon korban ke situs yang berisi malware atau berusaha mencuri kredensial korbannya.

Sementara serangan homograph itu bukanlah hal yang baru dan browser web akan mengeksposnya dengan mengganti karakter Unicode dengan Punycode di bilah alamat, dan Verisign serta penyedia serupa memiliki aturan yang memblokir pendaftaran domain homograph, rangkaian karakter Unicode Latin IPA Extension tidak diblokir sampai adanya laporan dari Hamilton.


Penyerang mulai menyalahgunakan bug ini pada tahun 2017

Setelah mendaftarkan domain atau subdomain yang tidak dapat dibedakan dari domain organisasi/perusahaan besar, penyerang dapat meluncurkan sejumlah serangan yang memanfaatkan hal ini, termasuk tetapi tidak terbatas pada phishing dan serangan social engineering terhadap karyawan, pelanggan, atau pengguna organisasi yang domainnya dipalsukan.

Antara 2017 dan hari ini, lebih dari selusin domain berbahaya telah memiliki sertifikat HTTPS aktif,” kata Hamilton. “Ini termasuk situs keuangan, e-commerce, teknologi, dan 100 situs Fortune lainnya.”

Dia juga menemukan bahwa “pihak ketiga telah mendaftar dan mengeluarkan sertifikat HTTPS untuk 15 dari 300 domain yang diuji menggunakan teknik homoglyph ini.”

Selain itu, satu contoh dari domain homoglyph yang menampung library jQuery berbahaya yang tidak resmi pun ditemukan.” tambah Hamilton.

Sebagai bagian dari proses penelitian, Hamilton juga mendaftarkan domain berbahaya berikut menggunakan karakter homoglyph Unicode Latin IPA Extension untuk menunjukkan dampak yang mereka dapat jika digunakan untuk tujuan jahat:

amɑzon.com
Chɑse.com
Sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
Washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com

Setelah bug 0-day ini diungkap, alat untuk menghasilkan permutasi domain menggunakan karakter homoglyph dan untuk memeriksa log transparansi sertifikat juga dibuat dan sekarang sudah tersedia online: http://homoglyphs.storage.googleapis.com/index.html


Just a simple person who like photography, videography, code, and cyber security enthusiast.