0
0
Os aplicativos do Microsoft Office – incluindo o Outlook – são vulneráveis a ataques homográficos com base em nomes de domínio internacionalizados (IDNs).
Na prática, isso significa que os usuários que pairam acima de um link em um e-mail de phishing ou um documento do Word ou Excel que eles reemitiram não podem dizer que ele irá direcioná-los para um domínio malicioso falso que não é o que ele pretende ser.
“Os usuários, que são treinados para validar um link em um cliente de e-mail antes de clicar nele, estarão suscetíveis a clicar nele porque ele ainda não foi traduzido para um nome de domínio real em seu navegador. O nome de domínio real só seria visto depois que a página começasse a ser aberta”, alertaram os pesquisadores do Bitdefender.
Ataques de homográficos baseados em IDN e Microsoft Office
IDNs são nomes de domínio que, total ou parcialmente, usam caracteres de um script ou alfabeto não-latino, que são codificados pelo padrão Unicode. Para que o DNS (Domain Name System, sistema de nomes de domínio) seja capaz de “lê-los” corretamente, as IDNs são armazenadas no DNS como strings ASCII usando transcrição punycode.
“O Punycode pode representar caracteres Unicode usando o conjunto de caracteres ASCII limitado – por exemplo, meu žugec.sk de domínio localizado é na verdade um xn--ugec-kbb.sk de domínio“, explicou Martin Zugec, diretor de soluções técnicas da Bitdefender.
Os domínios de homograph IDN falsificados são criados combinando letras de diferentes alfabetos, que para o usuário se parecem tanto entre si que tornam a diferenciação impossível (ou extremamente difícil e improvável), mas o Unicode trata como entidades/letras separadas.
“Ataques homográficos não são um conceito novo”, observou Zugec. “Ao longo dos anos, houve várias tentativas de resolver esse problema. Hoje, contamos com uma combinação de verificação de registro de domínio e conscientização incorporada aos aplicativos do cliente como os dois métodos mais comuns para evitar o risco desses ataques.”
Mas esses cheques nem sempre são perfeitos.
A maioria dos navegadores, por exemplo, mostra na barra de endereços o nome real de um nome de domínio internacionalizado (por exemplo, https://xn--n1aag8f.com) em vez do nome de exibição (por exemplo, https://žugec.com) se o site estiver desconfiado. Mas, como os pesquisadores do Bitdefender descobriram, os aplicativos do MS Office mostram o nome do display.
Qual é a probabilidade desses ataques?
Uma vez que a verificação de registro de domínios limita em grande parte quais domínios falsificados podem ser registrados e a maioria dos navegadores (o Firefox é uma exceção) mostram o nome real do domínio IDN falsificado, os ataques do homográfico IDN são impraticáveis e incomuns.
Ainda assim, atores de ameaças altamente motivados indo atrás de empresas específicas poderiam encontrar o problema de configurar esses ataques vale a pena.
“Revisamos os dados em nossa telemetria todos os meses para obter mais insights sobre o cenário de ameaças de ataque homográfico. Vemos uma tendência clara de direcionar operações financeiras, com foco principal nos mercados de criptomoedas”, acrescentou Zugec.
A Microsoft reconheceu o problema quando notificada das descobertas do Bitdefender, mas não deixou claro se pretende corrigi-lo.
Enquanto isso, as soluções de segurança de ponto final e os serviços de reputação de IP e URL devem bloquear a maioria dos domínios suspeitos, e o treinamento de conscientização do usuário deve ensinar os usuários a sempre verificar a URL de destino.
“Como regra simples, se a URL começar com xn--, o site é suspeito. Nomes de domínio internacionais raramente são usados para atividades não-maliciosas, exceto para alguns países”, observou ele, e alertou que, uma vez que esses domínios de IDN falsificados podem ser equipados com certificados de segurança gratuitos, um ícone de bloqueio presente na barra de endereços não deve ser tratado pelos usuários como prova da legitimidade do domínio.
As organizações também devem implementar a autenticação multifatorial para tornar o homográfico e qualquer outro tipo de phishing menos propensos a levar ao comprometimento da conta, e devem considerar o registro de todos os domínios que possam estar associados à sua empresa.
“Como as IDNs estão limitadas a um único conjunto de caracteres, as combinações são limitadas. Durante nossa pesquisa, notamos poucas empresas registrando proativamente todos os domínios potenciais de falsificação”, concluiu Zugec.
ATUALIZAÇÃO (6 de junho de 2022, 01:10 a.m. ET):
Removemos a menção do ataque trabalhando em Equipes, porque este problema específico não está presente naquele aplicativo da Microsoft.
FONTE: HELPNET SECURITY