Slack enthüllt schließlich die RCE-Fehler in seiner Desktop-App
Der Sicherheitsingenieur Oskars Vegeris von Evolution Gaming hat mehrere Sicherheitslücken in Slack aufgedeckt, die es Angreifern ermöglichen, eine Datei hochzuladen und mit einem anderen Slack-Benutzer oder -Kanal zu teilen, um den Exploit in der Slack-App der Opfer auszulösen.
Sie teilten die detaillierten Informationen privat mit Slack im Januar 2020, wo ausführliche Details zur Sicherheitsanfälligkeit erwähnt werden. Laut dem Forscher ist es möglich, mit jeder In-App-Umleitung – Logik- / Open-Redirect-, HTML- oder Javascript-Injection – beliebigen Code in Slack-Desktop-Apps auszuführen. Dieser Bericht zeigt einen speziell gestalteten Exploit, der aus einer HTML-Injection, einer Umgehung der Sicherheitskontrolle und eine RCE-Javascript-Nutzlast. Dieser Exploit wurde getestet, als er mit den neuesten Slack for Desktop-Versionen (4.2, 4.3.2) (Mac / Windows / Linux) funktioniert. “
Vegeris lieferte ein 5-Sekunden-Demo-Video mit HackerOne-Aufzeichnungen, in dem gezeigt wurde, wie er mithilfe einer JSON-Datei das Starten einer nativen Taschenrechneranwendung über die Slack-Desktop-App auslöste. Dieser Bericht wurde diese Woche vom Unternehmen veröffentlicht. Es zeigt mehrere Möglichkeiten, die der Ingenieur aufgelistet hat, um die Slack-App zu nutzen.
Dieser Exploit führt zu einer beliebigen Codeausführung auf dem Computer des Benutzers und nicht auf dem Backend des Slack. Schwachstellen im Code von Files.Slack.com ermöglichen es einem Angreifer, HTML-Injection, willkürliche Codeausführung und Cross-Site-Scripting zu erreichen.
Vegeris ‘nur ein HTML / JavaScript Proof-of-Concept-Exploit hat gezeigt, wie einfach es ist, die native Taschenrechner-App zu starten, indem die Nutzdaten in Slack hochgeladen werden.
Wenn die URL zu dieser HTML-Datei in den Bereich des Tags der Slack JSON-Post-Darstellung eingefügt wird, wird ein Ein-Klick-RCE auf dem Gerät aktiviert. Der Techniker erklärte: “Der URL-Link innerhalb des Bereichs-Tags würde diesen HTML / JS-Exploit für Slack Desktop-Apps enthalten, der jeden vom Angreifer bereitgestellten Befehl ausführt.”
Vegeris sagte in einem anderen Kommentar: “Zuvor gemeldetes Keylogging könnte auch anwendbar sein”, siehe den Fehlerbericht, der 2019 in Matt Langlois eingereicht wurde.
Für die Ergebnisse wurde der Ingenieur nur mit knapp 1.750 US-Dollar belohnt. Viele Twitter-Handles sagen, dass der Ingenieur mehr als 1.750 US-Dollar verdienen würde, wenn er den Exploit auf illegalen dunklen Webmärkten verkaufen würde. Es gibt verschiedene Fälle, in denen Benutzer auf Slack losschlagen, wie zum Beispiel diese:
Daniel Cuthbert, Hacker und Co-Autor des OWASP ASVS-Standards, sagte in einem Twitter-Thread: “Slack, der von Millionen und Abermillionen für unternehmenskritische Design-Chats, DevOps, Sicherheit, Fusionen und Übernahmen verwendet wird, verdammt, die Liste ist endlos Von diesem Forscher festgestellte Fehler führen zur Ausführung beliebiger Befehle auf dem Computer des Benutzers. Die TL; DR ist wow. “
Cuthbert bat Slack, richtig zu zahlen: “Für all diese Bemühungen erhielten sie 1750 Dollar. Siebzehnhundertfünfzig Dollar. @SlackHQ Erstens sind die Mängel ein ziemlich großes Problem, ich meine, die Validierung ist schwierig, aber komm schon, dann zahle bitte richtig. Weil dies bei Exploit.in viel mehr wert wäre. “
Das Unternehmen hatte sogar vergessen, Vegeris in einem vor zwei Monaten veröffentlichten Werbeblog zu würdigen. Anstatt die Details der Sicherheitslücke offenzulegen, feierte das Unternehmen zu dieser Zeit seine App-Sandbox-Funktion.
Als Vegeris HackerOne um die Veröffentlichung der Ergebnisse bat, entschuldigte sich das Unternehmen aufrichtig.
In Ryders Bericht heißt es: “Mein Name ist Larkin Ryder und ich bin derzeit als vorläufiger Sicherheitschef hier bei Slack tätig. @Brandenjordan hat mich auf diesen Fehltritt aufmerksam gemacht, und ich schreibe, um mich aufrichtig für etwaige Versehen bei der Gutschrift Ihrer Arbeit zu entschuldigen. Wir schätzen die Zeit und Mühe, die Sie investiert haben, um Slack sicherer zu machen, sehr. “
Er fuhr fort: “Obwohl das Sicherheitsteam diesen Blog-Beitrag nicht verfasst hat und der Autor keine Sichtbarkeit Ihrer Arbeit in H1 hat, sollten wir die zusätzlichen Schritte unternehmen, um sicherzustellen, dass alle, die zu Verbesserungsbemühungen in diesem Bereich beigetragen haben, anerkannt werden. Ich werde dies untersuchen entsprechende Aktualisierungen an unserem Blog-Beitrag vornehmen … Auch hier tut mir jeder Fehltritt von unserer Seite sehr leid. “
Derzeit wurden diese Sicherheitsanfälligkeiten behoben. Es war etwas mehr als fünf Wochen nach dem Bericht.