Una vulnerabilidad unicode de una década conocida como BIDI Swap permite a los atacantes falsificar URL para ataques sofisticados de phishing.
Al explotar cómo los navegadores renderizan los guiones de lenguaje de derecha a izquierda (RTL) y de izquierda a derecha (LTR), los actores de amenaza pueden crear URL que parecen legítimas pero redirigen secretamente a los usuarios a sitios maliciosos.
El ataque de intercambio BIDI se basa en métodos de manipulación de Unicode anteriores que durante mucho tiempo han sido una preocupación para la seguridad web.
En el pasado, los atacantes usaron ataques de homógrafos de PunyCode para registrar dominios con caracteres no latinos que se ven casi idénticos a las letras latinas, creando parodias convincentes de sitios web populares.
Otra técnica común fue la exploit de anulación RTL, donde los caracteres unicode especiales se incrustaron en un nombre de archivo o URL para revertir la dirección del texto.
Esto podría hacer que un archivo ejecutable malicioso aparezca como un documento inofensivo, engañando a los usuarios para que lo ejecute.
Estos ataques anteriores demostraron cómo las fallas sutiles en la representación de texto podrían explotarse con fines maliciosos, allanando el camino para técnicas más avanzadas como Bidi Swap que abusan de la lógica fundamental de cómo los navegadores muestran direcciones web.
Cómo funciona el ataque de intercambio de bidi
Los navegadores web se basan en el algoritmo Bidireccional (BIDI) de Unicode para mostrar correctamente el texto que contiene scripts LTR, como el inglés y los scripts RTL, como el árabe o el hebreo.
Sin embargo, la investigación de Varonis Amenazen Labs muestra esto El algoritmo tiene una debilidad crítica al manejar URL que mezclan scripts en subdominios y parámetros.
Un atacante puede explotar esto creando una URL con un subdominio LTR de aspecto legítimo (por ejemplo, paypal.com) seguido de un oscuro dominio RTL.
Debido a la representación defectuosa del navegador, el subdominio legítimo se muestra como el dominio principal en la barra de direcciones, enmascarando visualmente el destino verdadero y malicioso.
Esto confunde al usuario, que cree que está en un sitio de confianza mientras su navegador realmente está navegando a un servidor controlado por el atacante, lo que los hace vulnerables al phishing y el robo de datos.
La respuesta de los desarrolladores de navegadores a este problema de larga data ha sido inconsistente. Google Chrome ofrece una característica de sugerencia de “URL parecida”, pero solo marca un número limitado de dominios bien conocidos, dejando a muchos otros expuestos.
Mozilla Firefox adopta un mejor enfoque al resaltar visualmente la parte central del dominio en la barra de direcciones, lo que ayuda a los usuarios a detectar las parodias potenciales más fácilmente.
Mientras que Microsoft marcó el problema como se resolvió en su navegador de borde, los investigadores señalan que la vulnerabilidad subyacente en la representación de URL permanece.
Para mantenerse a salvo, los usuarios deben cultivar un hábito de sospecha. Siempre pase el tiempo sobre los enlaces para inspeccionar su verdadero destino antes de hacer clic, verifique cuidadosamente el certificado SSL de un sitio y tenga cuidado con cualquier URL que parezca mezclar scripts de idiomas diferentes o contiene un formato inusual.
En última instancia, la conciencia mejorada del usuario y las defensas mejoradas a nivel de navegador son esenciales para neutralizar esta amenaza engañosa.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
