L’introduzione dei nuovi domini di primo livello “.zip” lanciati da Google ha sollevato negli ultimi giorni non poche preoccupazioni in ambito di sicurezza. Oltre all’opportunità di registrare domini ad-hoc del tipo “archivio.zip”, “documenti.zip” o “backup.zip” (sfruttando quindi l’associazione con i formati di compressione .zip) è emersa la possibilità di utilizzare specifici caratteri Unicode negli URL che, grazie anche all’utilizzo del separatore “@”, permettono di dirottare le vittime verso domini malevoli.
Un ricercatore di sicurezza ha riportato in un post pubblicato che i browser basati su Chromium consentono di utilizzare i caratteri Unicode U+2044 (⁄) e U+2215 (∕) che sembrano identici al legittimo carattere slash (/). Questi caratteri combinati con il separatore @, utilizzato nelle URI per identificare dominio (alla sua destra) e informazioni utente (alla sua sinistra), permettono di generare un URL con un “dominio fittizio”. L’utente viene rimandato al dominio indicato dopo la @ anziché al dominio osservato nel URL a sinistra della @.
Un esempio del CERT-AGID è rappresentato dal seguente “URL”: https://google.com∕gmail∕inbox@bing.com.
Copiando e incollando questo URL sul browser, che contiene i caratteri Unicode (2044 e 2215) al posto dello slash (002F), gli esperti del CERT-AGID spiegano che l’utente verrà rediretto su bing.com, dominio indicato dopo la @, anziché sul dominio google.com.
L’utilizzo dei caratteri Unicode 2044 e 2215 è necessario per evitare di utilizzare il “vero” slash: infatti il separatore @ è valido solo nella parte authority di un URL e non può comparire quindi alla destra di uno slash (in questo caso è considerato un semplice carattere senza particolare semantica).
Vari ricercatori si sono sbizzarriti con gli esempi di URL malevoli che potrebbero potenzialmente sfruttare questa tecnica e gli esempi non si sono limitati solo all’uso di domini .zip ma anche ai domini .mov, estensione usata per i file video che quindi potrebbe essere usata per nomi dominio del tipo “video.mov”, “film.mov”, “tutorial.mov”, etc.
Mentre la registrazione di domini .zip utilizzati per ospitare pagine di phishing è già in corso, al momento gli esperti non hanno evidenziato lo sfruttamento dei nuovi TLD unitamente alla tecnica di URL che contengono caratteri Unicode alternativi allo slash e il carattere @. Tuttavia, questo argomento è ampiamente discusso e nelle ultime ore affrontato anche su alcuni forum noti per la compravendita di malware.
Il CERT-AGID consiglia, come dovuta precauzione, di prestare particolare attenzione agli URL provenienti da fonti esterne e che contengono al loro interno un carattere @; di utilizzare uno strumento come Cyberchef per verificare le componenti di un URL, dato che il carattere @ è comunque valido in alcuni contesti. Infine, comunicano che visitando questa pagina e inserendo l’URL da controllare, si ottengono le componenti base del URL, in particolare l’hostname.
https://cert-agid.gov.it/news/perche-destano-preoccupazione-i-nuovi-domini-zip/
