מה @ זה עושה בשם הדומיין שלי?
המחשה נוספת לפוטנציאל להתעללות הגיעה ב-a הפוסט האחרון מאת חוקר האבטחה בובי ראוך. בו הוא הראה כיצד תוקף יכול להשתמש ב-.zip TLD כדי ליצור כתובת URL זדונית שיכולה לרמות כמעט כל אחד ושנראית כמעט זהה לזה הלגיטימי שהיא מחקה. שתי כתובות האתרים הן:
https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip
ו
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
הראשון מוביל ל https://v1271.zip, שאם נעשה בו שימוש על ידי תוקף אמיתי שלקח את הזמן לרשום את הדומיין, עלול לספק קובץ exe זדוני. למרות שכתובת האתר השנייה נראית כמעט זהה, היא מורידה קובץ zip לגיטימי של Kubernetes מהמאגר הרשמי של GitHub עבור אותה תוכנת קוד פתוח.
הטריק של ראוך ממנף דומיין .zip על ידי שילובו עם האופרטור @ והתו Unicode ∕ (U+2215) כדי ליצור כתובת URL שמובילה לאתר הזדוני התיאורטי.
הנה איך: בלי לדעת רבים, הכל בין " https://” והאופרטור @ בשם תחום מטופל כמידע משתמש, בעוד שכל מה שאחרי האופרטור @ מטופל כשם מארח. אחת הסיבות שההבחנה הזו חומקת מרוב האנשים היא שדפדפנים רבים - Chrome, Safari ו-Edge בין אותם - אל תפעל לפי התווים בקטע פרטי המשתמש של שם הדומיין ובמקום זאת הפנה את המשתמש אל חלק שם המארח.
מוסכמה זו מביאה לתוצאות מנוגדות לאינטואיציה. כתובת האתר https://[email protected], לדוגמה, למעשה מוביל ל-bing.com. כאילו דברים לא מספיק מבלבלים, הצבת קו נטוי לפני האופרטור @ באותה כתובת URL - כלומר, https://google.com/[email protected]—will להוביל אל google.com (שגיאת 404 מתרחשת מכיוון שהנתיב "/[email protected]" אינו קיים ב-google.com). כתובות אתרים אלו מובילות לדומיינים שונים מכיוון שדפדפנים מנתחים הכל אחרי הנתב כנתיב.
זה נהיה אפילו יותר מסובך. א באג Chromium ידוע מאז 2016 מאפשר לשני תווי Unicode שנראים כמעט זהים לאכסון קדימה - U+2044 (⁄) ו-U+2215 (∕) - להיות נוכחים בכתובת URL מבלי לשנות את האופן שבו הדפדפן מפרש אותה. כתוצאה מכך, ואילו https://google.com/[email protected] (עם קו נטוי רגיל) מוביל לדף 404 ב-google.com - כפי שראינו למעלה - החלפת הלוכסן הרגיל קדימה באחד מתווי Unicode הדומים מוביל לדף הבית של Bing.
דף Kubernetes הזדוני שמוביל לכתובת ה-.zip הזדונית מבחינה תיאורטית זהה ל- דף Kubernetes אמיתי ב-GitHub עם הבחנה אחת כמעט בלתי מורגשת: הצלחות קדימה ה " https://” הוחלפו בתווי Unicode. הפוסט של ראוך ממשיך להראות כיצד מניפולציה של האופרטור @ בכתובת ה-URL - שינוי ספציפי בגודלו לגופן בגודל 1 - יכולה לגרום לכתובות URL זדוניות להיראות משכנעות יותר.
"אני לא מאמין שדומיינים .zip או .mov [ברמה העליונה] פותחים בהכרח כל וקטור התקפה חדש או חדשני, אבל הם בהחלט יכולים להקל על עבודתו של שחקן איום", כתב ראוך בראיון מקוון. "ניתן למנף את ה-.mov TLD באותו אופן כמו ה-.zip TLD."
הוא המשיך:
בהקשר עסקי, נניח שמופץ קובץ וידאו .mov המפרט כיצד עובדים יכולים להשתמש בתוכנת הנהלת חשבונות חדשה. אתה מקבל אימייל ממישהו בחברה שלך המכיל את הקישור הבא לצפייה בסרטון ההדרכה ב-Dropbox. אתה לוחץ עליו?
לאחר מכן הוא סיפק שתי כתובות אתרים:
https://www.dropbox[.]com∕s∕6lv9fph03m2boen∕@tutorial.mov
ו
https://www.dropbox[.]com/s/6lv9fph03m2boen/@tutorial.mov
למרות שהם נראים כמעט זהים, הראשון יכול לספק תוכנות זדוניות, בעוד השני מוביל לחשבון Dropbox לגיטימי המארח סרטון.