Microsoft Office rentan terhadap serangan homograph
Sementara kebanyakan dari mereka mudah dikenali oleh pengguna akhir dengan pelatihan yang tepat (misalnya, g00gle.com), serangan homograph berdasarkan international domain names (IDN) dapat dikenali dari domain yang mereka spoofing.
Sebagian besar penelitian keamanan tentang serangan homograf IDN telah difokuskan pada browser, tetapi nama domain digunakan oleh aplikasi lain yang masih rentan.
Baru-baru ini peneliti menguji beberapa aplikasi lain dan perilakunya tidak konsisten, beberapa aplikasi selalu menampilkan alamat asli, sementara yang lain menampilkan nama internasional.
Tapi yang mengejutkan adalah semua aplikasi dan versi Microsoft Office rentan terhadap serangan homograph IDN termasuk Outlook, Word, Excel, OneNote dan PowerPoint.
Bahkan jika browser memutuskan untuk menampilkan nama asli setelah membuka tautan, klien email menggunakan nama tampilan di panel pratinjau.
Pengguna yang dilatih untuk memvalidasi tautan di klien email sebelum mereka mengkliknya, akan rentan untuk mengkliknya, karena belum diterjemahkan ke nama domain asli di browser mereka.
Nama domain asli hanya akan terlihat setelah halaman mulai terbuka.
Situs web yang terbuka bahkan memiliki sertifikat keamanan yang valid dan sepenuhnya dikendalikan oleh aktor ancaman.
Tim Bitdefender melaporkan masalah ini ke Microsoft pada Oktober 2021 dan Pusat Respons Keamanan Microsoft mengonfirmasi temuan kami sebagai valid. Pada 2 Juni 2022, tidak jelas apakah atau kapan Microsoft akan memperbaiki masalah ini.
Aplikasi Microsoft Office (Word, Excel, PowerPoint dan lainnya) mempratinjau tautan homograph yang tidak dapat dibedakan dari domain palsu. Domain sebenarnya yang ditautkan dalam dokumen ini adalah xn--n1aag8f.com.
Kabar baiknya adalah bahwa serangan homograph kemungkinan besar tidak akan menjadi arus utama, mereka tidak mudah diatur atau dipelihara.
Namun, mereka adalah alat berbahaya dan efektif yang digunakan untuk kampanye yang ditargetkan oleh APT (advanced persistent threats) dan musuh tingkat tinggi seperti Big Game Hunting oleh grup Ransomware-as-a-Service baik menargetkan perusahaan bernilai tinggi tertentu (whale phishing) atau tema bernilai tinggi (misalnya pertukaran mata uang kripto populer).
Sejarah Kerentanan Homograph
Internet tidak diciptakan oleh seorang penemu tunggal.
Sebaliknya, dikembangkan oleh banyak orang yang berbeda, bekerja dengan standar dan teknologi yang beragam.
Para pionir Internet ini memiliki dua kesamaan, mereka menggunakan alfabet Latin dan bahasa yang sama adalah bahasa Inggris.
Internet tidak hanya ditemukan oleh penutur bahasa Inggris, tetapi juga dirancang untuk bahasa Inggris.
Setelah berakhirnya Perang Dingin, akses ke teknologi modern akhirnya terbuka kembali di negara-negara di Eropa Timur.
Masyarakat negara tersebut sangat ingin menggunakan teknologi baru ini, tetapi ternyata teknologi itu dirancang untuk dunia Barat.
Mereka perlu menemukan cara untuk membuatnya sesuai dengan bahasanya sendiri.
Penutur bahasa Arab mulai menggunakan angka untuk menggantikan huruf-huruf tertentu yang tidak ditemukan dalam alfabet berbasis Latin bahasa Inggris.
Beberapa dekade kemudian, mekanisme baru yang disebut Internationalizing Domain Names in Applications (IDNA) diperkenalkan.
Standar baru ini memungkinkan penggunaan karakter tidak standar dalam nama domain.
Nama domain internasional bergantung pada Punycode.
Punycode dapat mewakili karakter Unicode menggunakan rangkaian karakter ASCII terbatas misalnya, domain lokal saya ugec.sk sebenarnya adalah domain xn--ugec-kbb.sk.
Kita dapat menganggapnya sebagai nama tampilan (žugec.sk) dan nama asli (xn--ugec-kbb.sk).
Penyalahgunaan Nama Domain Internasional
Serangan phishing homograph didasarkan pada gagasan menggunakan karakter serupa untuk berpura-pura menjadi situs lain.
Serangan homograph paling dasar adalah mengganti “o” untuk “0” (misalnya, g00gle.com).
Meskipun sederhana, ini masih merupakan metode yang cukup berhasil.
Namun dengan diperkenalkannya nama domain internasional, peneliti keamanan dan pelaku ancaman menyadari bahwa huruf dalam alfabet yang berbeda dapat terlihat sangat mirip.
Seringkali hanya ada sedikit perbedaan bahasa, tidak hanya memiliki huruf “a”, tetapi juga huruf “á” dan “ä”.
Relatif mudah untuk melewatkan ini di domain seperti “microsofť.com” (huruf terakhir adalah “Ť”, bukan “T”).
Karakter yang terlihat mirip dikenal sebagai homograph (atau homoglyphs) dan mereka ada di ketiga alfabet utama Eropa (Latin, Cyrillic dan Yunani).
Serangan homograph menyalahgunakan kesamaan antara karakter-karakter ini dan fakta bahwa Unicode memperlakukan mereka sebagai entitas yang terpisah alih-alih menyatukan mereka di bawah nomor kode yang sama.
Untuk manusia, “a” dan “a” terlihat sama, tetapi komputer melihatnya sebagai huruf yang sama sekali berbeda.
Pelaku ancaman membuat nama domain internasional yang menyerupai nama domain target saat merencanakan serangan homograph.
Nama domain ini dapat didasarkan pada script yang sama, misalnya https://www.bițdefender.com menggunakan alfabet Rumania berbasis Latin dengan “t“ diganti dengan karakter serupa dengan penambahan diakritik “ț“) dan semua karakter lain dari alfabet Latin.
Mereka juga dapat menggunakan skrip non-Latin misalnya, https://оорѕ.com/ dibuat menggunakan huruf dari alfabet Cyrillic, tetapi terlihat akrab bagi pembaca Latin.
Dalam kondisi tertentu, homograph tidak terdeteksi oleh pengguna akhir biasa.
Bisakah kita membedakan mana yang benar, “apple.com” atau “apple.com”?
Jawabannya adalah keduanya salah: yang pertama meminjam “a” dan yang kedua meminjam “e” dari alfabet Sirilik.
Serangan homograph bukanlah konsep baru.
Mereka pertama kali dideskripsikan pada tahun 2001 (The Homograph Attack) dan jenis serangan ini muncul kembali secara teratur di komunitas keamanan karena bahkan setelah hampir 20 tahun, masalah ini belum sepenuhnya terpecahkan.
Peneliti keamanan DobbyWanKenobi baru-baru ini menemukan metode untuk memalsukan informasi kontak di Outlook.
Pendaftar Domain dan Browser
Selama bertahun-tahun, ada beberapa upaya untuk memecahkan masalah ini.
Saat ini, kami mengandalkan kombinasi pemeriksaan pendaftaran domain dan kesadaran yang dibangun ke dalam aplikasi klien sebagai dua metode paling umum untuk mencegah risiko serangan ini.
Pendekatan pertama difokuskan pada proses pendaftaran domain.
Misalnya, nama domain tidak dapat mencampur bahasa/script yang berbeda dengan membuat serangan ini lebih sulit untuk dieksekusi.
Kita tidak dapat mengambil nama domain seperti amazon.com dan mengganti hanya satu huruf dengan huruf dari alfabet Cyrillic.
Ketika karakter Unicode terdeteksi dalam nama domain yang diminta selama pendaftaran, kita akan diminta untuk menentukan bahasa dan semua huruf harus berasal dari alfabet itu.
Jika domain target kita terdiri dari kombinasi huruf “ј е о s” (huruf “s” tidak ada dalam alfabet Rusia/Ukraina, tetapi ada dalam bahasa Makedonia), kita dapat mendaftarkan domain spoof yang tidak dapat dikenali dari domain asli dalam alfabet berbasis Latin (misalnya, domain https://оорѕ.com/ yang didaftarkan oleh Bitdefender dan didasarkan pada scriptCyrillic dan alfabet Makedonia).
Jika domain target kita berisi huruf lain yang tidak ada dalam alfabet Sirilik, kita dapat menggunakan salah satu bahasa berbasis Latin sebagai dasar dan membuat penipu yang tidak sempurna misalnya amazoń.com (menggunakan huruf dari alfabet Polandia).
Pendekatan kedua bergantung pada software klien yang menangani nama domain IDN, ini biasanya mengacu pada browser, tetapi software lain seperti Slack atau Microsoft Teams juga memiliki penanganan khusus untuk nama domain internasional.
Ketika software klien menemukan nama domain internasional (selalu diawali dengan xn--), ia dapat memutuskan untuk menampilkan nama asli di address bar (https://xn--ugec-kbb.sk) atau menampilkan nama tampilan (https ://žugec.com).
Dengan kata lain, terserah pada software klien untuk memutuskan bagaimana menangani situs yang berpotensi berbahaya ini.
Dan responnya tidak selalu sama.
Sebagian besar browser akan menampilkan nama asli (dalam format ASCII) ketika situs tersebut mencurigakan.
Firefox (bahkan versi terbaru 93) menunjukkan nama tampilan.
Gambar 6: Situs yang sama https://оорѕ.com/ seperti yang terlihat di Firefox 93.0 (kiri) dan Microsoft Edge (kanan)
Perhatikan bahwa situs di tangkapan layar sebelumnya memiliki sertifikat keamanan yang valid.
Karena domain aslinya adalah https://xn--n1aag8f.com, yang diperlukan hanyalah sertifikat untuk situs tersebut dan dapat diperoleh dengan mudah dari Let’s Encrypt.
Melihat nama domain asli dan simbol komunikasi terenkripsi sudah lebih dari cukup bagi sebagian besar pengguna akhir untuk melanjutkan.
Dalam data telemetri Bitdefender Labs, kami melihat bahwa hampir 10% domain homograph menggunakan HTTPS.
Kombinasi sertifikat dan HTTPS semakin meningkatkan kepercayaan pengguna akhir dalam mengakses situs berbahaya.
Serangan homograph IDN tidak umum, mereka memerlukan pendaftaran domain khusus, dan sebagian besar browser tidak menggunakan nama tampilan lagi (Unicode), melainkan mereka akan menggunakan nama asli (ASCII).
Meskipun hal ini tidak praktis bagi sebagian besar penyerang, ini adalah opsi yang layak untuk aktor ancaman yang bermotivasi tinggi.
Rekomendasi kami
- Tutup kemungkinan serangan homograph dalam pelatihan kesadaran pengguna kita. “Periksa URL dan lock icon” mungkin tidak cukup baik, terutama bagi karyawan yang berisiko tinggi terkena spear phishing.
- Daripada hanya mengandalkan pengguna, terapkan solusi keamanan endpoints yang mendeteksi dan memblokir situs web berbahaya.
Bitdefender Network Attack Defense (fitur solusi keamanan endpoints Bitdefender) memberikan perlindungan tanpa batas bagi pengguna akhir dari ini dan banyak ancaman serupa lainnya.
- Gunakan layanan reputasi IP dan URL untuk semua perangkat kita. Sebagai aturan sederhana, jika URL dimulai dengan xn--, situs tersebut mencurigakan.
Nama domain internasional jarang digunakan untuk aktivitas yang tidak berbahaya, kecuali di beberapa negara.
Integrasikan Bitdefender Threat Intelligence (TI) dengan infrastruktur keamanan yang ada untuk menghadirkan kecerdasan kontekstual terkini pada URL, IP, domain dan sertifikat.
- Gunakan multi-factor authentication untuk mencegah pengambilan kredensial.
- Perbarui browser (dan alat produktivitas lainnya). Aplikasi default behavior dapat memengaruhi kemampuan kita untuk mendeteksi serangan homograph.
- Pertimbangkan kemungkinan serangan homograph dalam supply chain. Seberapa besar kerusakan yang dapat dilakukan dengan memalsukan spoofing domain identities, pelanggan, atau mitra penting kita?
- Daftarkan semua domain yang dapat dikaitkan dengan perusahaan kita. Karena IDN terbatas pada satu set karakter, kombinasinya terbatas.
Selama penelitian kami, kami melihat beberapa perusahaan secara proaktif mendaftarkan semua potential spoofing domains.
Recent Comments