Уязвимость Slack позволяла красть данные из списка загрузок

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 21 May 2019.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,613
    Likes Received:
    3,610
    Reputations:
    693
    Исследователь Дэвид Уэллс (David Wells) из Tenable обнаружил в Slack 3.3.7 уязвимость, которая позволяла получить доступ к скачанным на устройство файлам. Проблема затронула десктопное приложение для Windows. Эксперт сообщил разработчикам о найденном баге, и они уже исправили его в новой версии 3.4.0.

    Проблема была связана с тем, как приложение обрабатывало внутренние ссылки вида slack://… Атакующий мог создать специальный адрес, который не отличается от обычного внешне и изменяет путь сохранения файлов. В качестве директории злоумышленник мог указать в том числе удаленный сервер. Помимо это, баг позволял менять некоторые другие настройки.

    Уэллс также обнаружил, что атакующий может изменять скачанные файлы. Таким образом, злоумышленник способен встроить в документ вредоносный код, который автоматически запустится, когда жертва откроет вложение.

    Несколько усложняет задачу преступникам запрет создавать гиперссылки в сообщениях Slack — получатель всегда видит URL и вряд ли рискнет переходить по незнакомому адресу. Однако это ограничение можно обойти, заменив в специальном поле значение «текст» на «вложение». В результате злоумышленник может замаскировать URL под любой текст, например https://www[.]google[.]ru/, и тем самым ввести в заблуждение жертву.

    Вредоносная ссылка могла быть отправлена в личном сообщении или в канал, к которому атакующий имеет доступ. Однако опасность может исходить не только от участников беседы. Уэллс указывает, что даже неавторизованный злоумышленник способен изменить место сохранения файлов с помощью RSS-потоков на сторонних сайтах.

    Если канал использовал RSS-потоки с внешнего ресурса, то жертве достаточно было кликнуть по ссылке на этом ресурсе. При этом злоумышленник может изменить настройки, даже если у него нет доступа к рабочему пространству пользователя.

    Ежедневно Slack для Windows используют 10 млн человек, однако, согласно результатам внутреннего расследования, обнаруженная уязвимость ни разу не была проэксплуатирована. Поскольку успешная атака требует взаимодействия с пользователем, багу присвоен средний уровень угрозы. За обнаружение проблемы компания выплатила Уэллсу $500.

    В октябре 2017 года Slack устранил серьезную уязвимость в реализации стандарта обмена данными SAML. Баг позволял пользователям, чей доступ к аккаунту был отозван, вновь открыть свою учетную запись.

     
    seostock likes this.
Loading...