Slack finalmente revela las fallas de RCE en su aplicación de escritorio

El ingeniero de seguridad Oskars Vegeris de Evolution Gaming reveló múltiples vulnerabilidades en Slack que permiten a los atacantes cargar un archivo y compartirlo con otro usuario o canal de Slack para activar el exploit en la aplicación Slack de las víctimas.

Compartió el escrito detallado en privado con Slack en enero de 2020, donde se mencionan detalles extensos sobre la vulnerabilidad. Según el investigador, “Con cualquier redireccionamiento en la aplicación: redireccionamiento lógico / abierto, inyección de HTML o javascript, es posible ejecutar código arbitrario dentro de las aplicaciones de escritorio de Slack. Este informe demuestra un exploit específicamente diseñado que consiste en una inyección de HTML, una omisión de control de seguridad y una carga útil de RCE Javascript. Se probó que este exploit funcionaba en las últimas versiones de Slack para escritorio (4.2, 4.3.2) (Mac / Windows / Linux) “.

Vegeris proporcionó un video de demostración de 5 segundos con el artículo de HackerOne que mostraba cómo usó un archivo JSON para activar el inicio de una aplicación de calculadora nativa a través de la aplicación de escritorio Slack. Este informe hecho público por la empresa esta semana. Muestra varias formas en que el ingeniero enumeró para explotar la aplicación Slack.

Este exploit da como resultado la ejecución de código arbitrario desde la computadora del usuario y no el backend de Slack. Las debilidades en el código de Files.Slack.com permiten a un atacante lograr la inyección de HTML, la ejecución de código arbitrario y las secuencias de comandos entre sitios.

El exploit de prueba de concepto HTML / JavaScript publicado por Vegeris muestra cómo es fácil iniciar la aplicación de calculadora nativa cargando la carga útil en Slack.

Cuando la URL de este archivo HTML se inyecta en el área de la etiqueta de la representación de la publicación Slack JSON, se habilitaría RCE con un clic en el dispositivo. El ingeniero declaró: “El enlace URL dentro de la etiqueta de área contendría este exploit HTML / JS para aplicaciones de Slack Desktop que ejecuta cualquier comando proporcionado por el atacante”.

Vegeris, en otro comentario, dijo: “El registro de teclas informado anteriormente también podría ser aplicable”, consulte el informe de error presentado en Matt Langlois en 2019.

 Por los hallazgos, el ingeniero solo recibió una miserable recompensa de $ 1,750. Muchos usuarios de Twitter dicen que el ingeniero ganaría más de 1.750 dólares si vendiera el exploit en mercados ilícitos de la web oscura. Hay varios casos de usuarios atacando a Slack, como este:

 Daniel Cuthbert, hacker y coautor del estándar OWASP ASVS dijo en un hilo de Twitter: “Slack, utilizado por millones y millones para chats de diseño de misión crítica, DevOps, seguridad, fusiones y adquisiciones, diablos la lista es interminable. las fallas encontradas por este investigador resultan en la ejecución de comandos arbitrarios en la computadora del usuario. El TL; DR es increíble “.

Cuthbert le suplicó a Slack que pagara adecuadamente: “Por todo ese esfuerzo, obtuvieron $ 1750. Diecisietecientos CINCUENTA dólares. @SlackHQ, en primer lugar, las fallas son una preocupación bastante grande, quiero decir que la validación es difícil, pero vamos, luego pague adecuadamente, por favor. Porque esto valdría mucho más en exploit.in “.

La compañía incluso se había olvidado de darle crédito a Vegeris en una publicación de blog promocional publicada hace dos meses. Además, en lugar de revelar los detalles de la vulnerabilidad, la compañía celebró esa vez su función de zona de pruebas de aplicaciones.

Aquí es cuando Vegeris solicitó a HackerOne la divulgación pública de los hallazgos, la compañía comenzó a disculparse sinceramente.

El informe de Ryder dice: “Mi nombre es Larkin Ryder y actualmente me desempeño como Director de Seguridad interino aquí en Slack. @Brandenjordan me hizo consciente de este paso en falso y le escribo para transmitirle mis más sinceras disculpas por cualquier descuido en la acreditación de su trabajo. Apreciamos mucho el tiempo y el esfuerzo que ha invertido para hacer que Slack sea más seguro “.

Continuó: “Si bien el equipo de seguridad no fue el autor de esta publicación de blog y el autor no tiene visibilidad de su trabajo en H1, deberíamos tomar medidas adicionales para garantizar que se reconozca a todos los que contribuyeron a los esfuerzos de mejora en esta área. Investigaré haciendo las actualizaciones apropiadas en nuestra publicación de blog … Una vez más, lamento mucho cualquier paso en falso de nuestra parte “.

Actualmente, esas vulnerabilidades se han parcheado. Fue un poco más de cinco semanas después del informe.