Злоумышленники могли регистрировать домены с использованием латинских символов Unicode вместо латинских букв.
Оператор сетевой инфраструктуры, американская компания Verisign, исправила уязвимость, позволявшую злоумышленникам регистрировать поддельные домены с использованием омоглифов – знаков, которые пишутся одинаково или похоже, но имеют разные значения.
Уязвимость обнаружил старший исследователь безопасности калифорнийской компании Soluble Мэтт Гамильтон (Matt Hamilton) при попытке зарегистрировать бакет Amazon Web Services S3 с использованием символов Unicode. Гамильтон смог зарегистрировать латинские омоглифы, а точнее – омоглифы латинского расширения МФА. Речь, в частности, идет о символах «ɡ» (велярный смычный согласный), «ɑ» (альфа) и «ɩ» (йота).
«Затем я решил проверить, можно ли зарегистрировать домены с этими омоглифическими символами. И вуаля – можно», – сообщил исследователь в своем блоге.
Об атаках с использованием омоглифов известно давно – злоумышленники регистрируют поддельные домены, похожие на настоящие, но с использованием символов других алфавитов (например, кириллических символов вместо похожих на них латинских). Регистраторы доменов используют различные способы борьбы с подобными атаками, в том числе блокируют возможность регистрировать домены с использованием символов разных алфавитов одновременно.
Компания Verisign, регистрирующая домены в зонах .com и .net, предотвращает регистрацию доменов со смешанными скриптами. Однако Гамильтон обнаружил возможность регистрации доменов с использованием букв латинского алфавита и символов Unicode («если сами символы Unicode являются латинскими», пояснил исследователь).
На днях Verisign исправила этот недостаток, и теперь регистрация поддельных доменов с использованием омоглифов невозможна. В свою очередь Amazon предотвращает использование символов Unicode для регистрации поддоменов путем блокировки бакетов, начинающихся с «xn--».
Расширения МФА – пятый блок стандарта Unicode, содержащий все символы международного фонетического алфавита.