Киберпреступники могут использовать уязвимости в службах поддержки, Yammer и Slack для получения доступа к сайту компании, внутренним сетям и даже учетным записям сотрудников в соцсетях. Об этом рассказал создатель метода, бельгийский программист Инти де Кюкелере (Inti De Ceukelaire) в своем блоге на Freecodecamp.

Популярные инструменты делового общения, такие как Slack, Yammer и Facebook Workplace, требуют от сотрудников авторизации с использованием адреса рабочей почты. Новый участник подобных сервисов может прописаться в них двумя путями: либо через приглашение от администратора рабочей группы, либо через «волшебную ссылку» для обладателей почтового адреса на домене компании.

Если компания использует свое доменное имя для авторизации, но не проверяет пользователя вручную, служба поддержки будет считать, что это подтвержденный электронный адрес сотрудника компании.

По словам Де Кюкелере, он впервые обнаружил способ обойти эту проверку подлинности на GitLab. Используя адрес почты, полученный при обращении в службу поддержки и оканчивающийся на @gitlab.com, исследователь зарегистрировался в рабочей группе Slack, принадлежащей компании-разработчику системы управления Git-репозиториями.

По словам программиста, он сразу же удалил свой аккаунт и уведомил GitLab о проблеме. Веб-мастер компании изменил статус корпоративного канала в Slack на доступный только по приглашению и оповестил сотрудников.

Другая возможность для незаконного проникновения связана с сервисами поддержки пользователей. Письма, отправленные на support@имя_компании.com, иногда обрабатываются с помощью веб-инструментов, таких как Zendesk, Kayako, Freshdesk, WHMCS, либо внутренним ресурсом компании.

Большинство порталов поддержки интегрированы с сервисом единого входа ─ аутентифицированный пользователь автоматически входит в службу поддержки. Более половины протестированных Де Кюкелере веб-сайтов не требуют проверки электронной почты, что означает, что любой посетитель может зарегистрироваться с любым адресом электронной почты и свободно читать любые тикеты обращений в техподдержку, созданные с этого адреса электронной почты.

Одним из многих примеров отсутствия такой проверки оказалась онлайн-видеоплатформа Vimeo. Исследователь нашел все рабочие среды, связанные с видеохостингом, и залогинился, используя почту support@vimeo.com. Более того, feedback@slack.com присылает ссылку для подтверждения на support@vimeo.com в форме тикета, и ее можно найти, авторизовавшись через почтовый адрес службы поддержки.

Этой уязвимости подвержены все веб-сайты, интегрирующие портал поддержки без проверки электронной почты, а также те ресурсы, которые требуют от пользователей проверки адреса электронной почты при регистрации, но не при ее изменении. В числе уязвимых сервисов исследователь назвал Kayako, Zendesk, Freshdesk и кастомный инструмент Twitter.

Одним из потенциальных решений для предотвращения таких угроз является простая визуальная проверка адресов электронной почты и запрет на создание учетных записей для тех из них, которые выглядят подозрительными. Если первая часть адреса состоит из 50 случайных букв, символов или цифр, то можно предположить, что она не была создана человеком.

Другой способ обезопасить корпоративные мессенджеры и ресурсы заключается в том, чтобы переместить как можно больше работы на людей, не опираясь на автоматизированные процессы.

Kayako и Zendesk пообещали решить проблему обхода единой авторизации, Slack добавил случайные токены в no-reply-письма, в Yammer до сих пор не отреагировали на письмо исследователя. В общей сложности за обнаруженную уязвимость Де Кюкелере получил более 18 тыс. долларов от различных компаний.

Категории: Главное, Уязвимости