Suicide
21.05.2019, 01:58
Исследователь Дэвид Уэллс (David Wells) из Tenable обнаружил (https://www.tenable.com/blog/slack-patches-download-hijack-vulnerability-in-windows-desktop-app) в Slack 3.3.7 уязвимость, которая позволяла получить доступ к скачанным на устройство файлам. Проблема затронула десктопное приложение для Windows. Эксперт сообщил разработчикам о найденном баге, и они уже исправили его в новой версии (https://slack.com/intl/en-ru/release-notes/windows) 3.4.0.
Проблема была связана с тем, как приложение обрабатывало внутренние ссылки вида slack://… Атакующий мог создать специальный адрес, который не отличается от обычного внешне и изменяет путь сохранения файлов. В качестве директории злоумышленник мог указать в том числе удаленный сервер. Помимо это, баг позволял менять некоторые другие настройки.
Уэллс также обнаружил, что атакующий может изменять скачанные файлы. Таким образом, злоумышленник способен встроить в документ вредоносный код, который автоматически запустится, когда жертва откроет вложение.
Несколько усложняет задачу преступникам запрет создавать гиперссылки в сообщениях Slack — получатель всегда видит URL и вряд ли рискнет переходить по незнакомому адресу. Однако это ограничение можно обойти, заменив в специальном поле значение «текст» на «вложение». В результате злоумышленник может замаскировать URL под любой текст, например https://www[.]google[.]ru/, и тем самым ввести в заблуждение жертву.
Вредоносная ссылка могла быть отправлена в личном сообщении или в канал, к которому атакующий имеет доступ. Однако опасность может исходить не только от участников беседы. Уэллс указывает, что даже неавторизованный злоумышленник способен изменить место сохранения файлов с помощью RSS-потоков на сторонних сайтах.
Если канал использовал RSS-потоки с внешнего ресурса, то жертве достаточно было кликнуть по ссылке на этом ресурсе. При этом злоумышленник может изменить настройки, даже если у него нет доступа к рабочему пространству пользователя.
Ежедневно Slack для Windows используют 10 млн человек (https://slackhq.com/slack-has-10-million-daily-active-users), однако, согласно результатам внутреннего расследования, обнаруженная уязвимость ни разу не была проэксплуатирована. Поскольку успешная атака требует взаимодействия с пользователем, багу присвоен средний уровень угрозы. За обнаружение проблемы компания выплатила Уэллсу $500.
В октябре 2017 года Slack устранил (https://threatpost.ru/slack-plugs-severe-saml-user-authentication-hole/23016/) серьезную уязвимость в реализации стандарта обмена данными SAML. Баг позволял пользователям, чей доступ к аккаунту был отозван, вновь открыть свою учетную запись.
20.05.2019
https://threatpost.ru/slack-vulnerability-allows-to-sreal-downloaded-files/32722/
Проблема была связана с тем, как приложение обрабатывало внутренние ссылки вида slack://… Атакующий мог создать специальный адрес, который не отличается от обычного внешне и изменяет путь сохранения файлов. В качестве директории злоумышленник мог указать в том числе удаленный сервер. Помимо это, баг позволял менять некоторые другие настройки.
Уэллс также обнаружил, что атакующий может изменять скачанные файлы. Таким образом, злоумышленник способен встроить в документ вредоносный код, который автоматически запустится, когда жертва откроет вложение.
Несколько усложняет задачу преступникам запрет создавать гиперссылки в сообщениях Slack — получатель всегда видит URL и вряд ли рискнет переходить по незнакомому адресу. Однако это ограничение можно обойти, заменив в специальном поле значение «текст» на «вложение». В результате злоумышленник может замаскировать URL под любой текст, например https://www[.]google[.]ru/, и тем самым ввести в заблуждение жертву.
Вредоносная ссылка могла быть отправлена в личном сообщении или в канал, к которому атакующий имеет доступ. Однако опасность может исходить не только от участников беседы. Уэллс указывает, что даже неавторизованный злоумышленник способен изменить место сохранения файлов с помощью RSS-потоков на сторонних сайтах.
Если канал использовал RSS-потоки с внешнего ресурса, то жертве достаточно было кликнуть по ссылке на этом ресурсе. При этом злоумышленник может изменить настройки, даже если у него нет доступа к рабочему пространству пользователя.
Ежедневно Slack для Windows используют 10 млн человек (https://slackhq.com/slack-has-10-million-daily-active-users), однако, согласно результатам внутреннего расследования, обнаруженная уязвимость ни разу не была проэксплуатирована. Поскольку успешная атака требует взаимодействия с пользователем, багу присвоен средний уровень угрозы. За обнаружение проблемы компания выплатила Уэллсу $500.
В октябре 2017 года Slack устранил (https://threatpost.ru/slack-plugs-severe-saml-user-authentication-hole/23016/) серьезную уязвимость в реализации стандарта обмена данными SAML. Баг позволял пользователям, чей доступ к аккаунту был отозван, вновь открыть свою учетную запись.
20.05.2019
https://threatpost.ru/slack-vulnerability-allows-to-sreal-downloaded-files/32722/