Nuova minaccia

Attacchi omografici, una seria minaccia anche per la suite Microsoft Office: rischi e mitigazione

Aumentano gli attacchi omografici che ingannano la vittima con un phishing reso ancora più credibile dai nomi di dominio molto simili agli originali, appartenenti a marchi noti o all’azienda obiettivo dell’attacco. Nel mirino anche gli utenti della suite Microsoft Office. Non c’è una patch, ma si può mitigare il rischio conoscendo i dettagli di questa tecnica malevola

09 Giu 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Una recente ricerca di Bitdefender ha evidenziato la preoccupante attualità degli attacchi omografici ai quali sembrano essere vulnerabili anche gli strumenti da ufficio presenti in Microsoft Office, tra cui Outlook, Word, Excel, OneNote e PowerPoint.

Gli attacchi omografici riportano in auge storici problemi le cui radici risalgono alle origini del progetto Internet. Nonostante la loro storicità, sembrano ancora attuali, sebbene non sfruttati su larga scala, e attualizzati a tecniche come il phishing nelle campagne malevole.

Cos’è e come funziona l’attacco omografico

Gli attacchi di phishing omografici comprendono quel genere di attività malevola secondo la quale gli attaccanti sfruttano le somiglianze dei caratteri dell’alfabeto (o degli alfabeti quando si parla di attacchi su domini internazionali) nei nomi di dominio. Per far capire istantaneamente di cosa si sta parlando, la ricerca stessa di Bitdefender porta ad esempio il caso di “google.com” visivamente sostituito con “g00gle.com”.

WHITEPAPER
Cosa serve per risparmiare davvero sull’energia? L’IoT da solo non basta!

Le cose, però, si complicano se nell’attacco si sfrutta il meccanismo chiamato Internationalizing Domain Names in Applications (IDNA), attraverso il quale è possibile registrare nomi di dominio non solo con caratteri degli alfabeti occidentali (latino/inglese) che noi tutti conosciamo, ma anche con caratteri non standard, provenienti per esempio da cirillico, greco e rumeno.

Se a uno sguardo attento distinguiamo facilmente uno “0” (zero) da una “o”, all’occhio umano risulta nettamente più complicato distinguere per esempio la lettera “a” latina da quella dell’alfabeto cirillico. Come mostrato dalla figura sottostante, le differenze sono date dal tratto rosso in un caso oppure blu, nell’altro. Potremo dire impercettibili.

Queste differenze, minime per un occhio umano, producono però effettivamente due caratteri distinti per un computer. Sfruttare questo concetto significa avere tra le mani, soprattutto alla luce delle possibilità offerte dall’introduzione di IDN, un set di strumenti effettivamente ampio, con il quale registrare nuovi nomi di dominio che abbiano dietro operatori criminali.

La conduzione di una campagna di phishing di questo genere presuppone, appunto, l’ottenimento del nome di dominio che emulerà il brand che si vuole sfruttare con la vittima, oltre al contenuto del sito rispetto all’originale, in modo da poter carpire dati personali, qualora la frode sia abbastanza convincente agli occhi della vittima.

Come si integra l’attacco con la suite Microsoft

La ricerca Bitdefender è stata segnalata a Microsoft nell’ottobre 2021 e la società stessa ne ha confermato i risultati. La vulnerabilità a questa tipologia di attacchi, nella suite Office 365, è amplificata dal metodo di interpretazione dei link contenti appunto caratteri internazionali o UNICODE. Questi ultimi non verranno visualizzati e verrà dato peso unicamente al link che eventualmente verrà incollato come testo alternativo.

Nell’immagine sottostante viene riportato il caso di Outlook 365, alle prese con un messaggio contenente proprio questo link.

Oppure dagli editor di testo quali Word, Excel e PowerPoint.

Effettivamente, viene mostrato il link “oops.com” mentre invece l’effettivo dominio collegato in questo documento è “xn--n1aag8f.com”. Che corrisponde proprio alla registrazione di un dominio internazionale, come il suffisso “xn--” suggerisce. Nella visualizzazione Microsoft la differenza tra i due Unicode è invisibile. Questo fa scattare la vulnerabilità.

Come si affronta una tale vulnerabilità

Il problema è noto a Microsoft, appunto, grazie a questa ricerca. Non è stato ancora risolto perché non si è al momento trovata una soluzione univoca e applicabile a tale risoluzione. Nonostante tutto, va detto che attacchi di questo tipo non sono facili da condurre.

Tra le difficoltà che gli attaccanti incontreranno, ci sono sicuramente i limiti già oggettivi degli standard in uso. Ad esempio i nomi di dominio (seppur internazionalizzabili) non possono mischiare differenti set di caratteri all’interno dello stesso nome. Quindi non possiamo registrare “amazoń.com”, semplicemente prendendo la lettera “n” dall’alfabeto polacco e tutte le altre dal latino (che inoltre verrebbe tradotto come segue: “www.xn--amazo-07a.com”).

Allo stato attuale, soprattutto per brand di certe dimensioni, è pratica diffusa registrare tutte le possibilità di nomi di dominio con caratteri simili all’interno del proprio set di caratteri di appartenenza che, essendo l’unico dal quale si può attingere, non risulta mai un numero di possibilità eccessivamente elevato.

Tra le misure di mitigazione suggerite, c’è anche quella di sospettare davanti a casi di domini che iniziano per “xn--“, in linea generale, sempre. Spesso applicando anche regole specifiche nei firewall di rete.

Inoltre la formazione del proprio personale dipendente su questa tipologia di attacco rimane fondamentale. Gli operatori che hanno a che fare con desk e strumenti informatici, a contatto con l’esterno dell’organizzazione, dovrebbero conoscere la tecnica almeno per poter generare il sospetto, davanti a certi casi poco limpidi.

Il tutto sicuramente almeno finché non verrà trovata una soluzione definitiva lato client, sia per programmi d’ufficio che per browser di navigazione, atta a prevenire gli attacchi omografici che ancora, seppur lenti, possono correre quasi indisturbati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5