Исследователь Дэвид Уэллс (David Wells) из Tenable обнаружил в Slack 3.3.7 уязвимость, которая позволяла получить доступ к скачанным на устройство файлам. Проблема затронула десктопное приложение для Windows. Эксперт сообщил разработчикам о найденном баге, и они уже исправили его в новой версии 3.4.0.

Проблема была связана с тем, как приложение обрабатывало внутренние ссылки вида slack://… Атакующий мог создать специальный адрес, который не отличается от обычного внешне и изменяет путь сохранения файлов. В качестве директории злоумышленник мог указать в том числе удаленный сервер. Помимо это, баг позволял менять некоторые другие настройки.

Уэллс также обнаружил, что атакующий может изменять скачанные файлы. Таким образом, злоумышленник способен встроить в документ вредоносный код, который автоматически запустится, когда жертва откроет вложение.

Несколько усложняет задачу преступникам запрет создавать гиперссылки в сообщениях Slack — получатель всегда видит URL и вряд ли рискнет переходить по незнакомому адресу. Однако это ограничение можно обойти, заменив в специальном поле значение «текст» на «вложение». В результате злоумышленник может замаскировать URL под любой текст, например https://www[.]google[.]ru/, и тем самым ввести в заблуждение жертву.

Вредоносная ссылка могла быть отправлена в личном сообщении или в канал, к которому атакующий имеет доступ. Однако опасность может исходить не только от участников беседы. Уэллс указывает, что даже неавторизованный злоумышленник способен изменить место сохранения файлов с помощью RSS-потоков на сторонних сайтах.

Если канал использовал RSS-потоки с внешнего ресурса, то жертве достаточно было кликнуть по ссылке на этом ресурсе. При этом злоумышленник может изменить настройки, даже если у него нет доступа к рабочему пространству пользователя.

Ежедневно Slack для Windows используют 10 млн человек, однако, согласно результатам внутреннего расследования, обнаруженная уязвимость ни разу не была проэксплуатирована. Поскольку успешная атака требует взаимодействия с пользователем, багу присвоен средний уровень угрозы. За обнаружение проблемы компания выплатила Уэллсу $500.

В октябре 2017 года Slack устранил серьезную уязвимость в реализации стандарта обмена данными SAML. Баг позволял пользователям, чей доступ к аккаунту был отозван, вновь открыть свою учетную запись.

Категории: Главное, Уязвимости