Slack révèle enfin les failles de RCE dans son application de bureau

L’ingénieur en sécurité Oskars Vegeris d’Evolution Gaming a révélé plusieurs vulnérabilités dans Slack permettant aux attaquants de télécharger un fichier et de le partager avec un autre utilisateur ou canal Slack pour déclencher l’exploit sur l’application Slack des victimes.

Ils ont partagé les détails rédigés en privé avec Slack en janvier 2020, où des détails détaillés sur la vulnérabilité sont mentionnés. Selon le chercheur, “Avec toute redirection dans l’application – redirection logique / ouverte, injection HTML ou javascript, il est possible d’exécuter du code arbitraire dans les applications de bureau Slack. Ce rapport montre un exploit spécifiquement conçu consistant en une injection HTML, un contournement du contrôle de sécurité et une charge utile Javascript RCE. Cet exploit a été testé comme fonctionnant sur les dernières versions de Slack pour bureau (4.2, 4.3.2) (Mac / Windows / Linux). “

Vegeris a fourni une vidéo de démonstration de 5 secondes avec l’écriture de HackerOne montrant comment il a utilisé un fichier JSON pour déclencher le lancement d’une application de calcul native via l’application de bureau Slack. Ce rapport rendu public par l’entreprise cette semaine. Il montre plusieurs façons dont l’ingénieur a répertorié pour exploiter l’application Slack.

Cet exploit se traduit par une exécution de code arbitraire depuis l’ordinateur de l’utilisateur et non par le backend de Slack. Les faiblesses du code Files.Slack.com permettent à un attaquant de réaliser une injection HTML, l’exécution de code arbitraire et des scripts intersites.

Vegeris n’a publié qu’un seul exploit de preuve de concept HTML / JavaScript montre à quel point il est facile de lancer l’application de calcul native en téléchargeant la charge utile dans slack.

Lorsque l’URL de ce fichier HTML est injectée dans la zone de la balise de la représentation de publication Slack JSON, activer RCE en un clic sur l’appareil. L’ingénieur a déclaré: «Le lien URL dans la balise de zone contiendrait cet exploit HTML / JS pour les applications Slack Desktop qui exécute toute commande fournie par un attaquant.»

Vegeris, dans un autre commentaire, a déclaré: “L’enregistrement de frappe précédemment signalé pourrait également être applicable”, se réfère au rapport de bogue déposé à Matt Langlois en 2019.

 Pour les résultats, l’ingénieur n’a été récompensé que de 1750 dollars. De nombreux utilisateurs de Twitter disent que l’ingénieur gagnerait plus de 1750 dollars s’il vendait l’exploit sur les marchés illicites du dark web. Il existe plusieurs exemples d’utilisateurs qui s’en prennent à Slack, comme celui-ci:

 Daniel Cuthbert, pirate informatique et co-auteur de la norme OWASP ASVS a déclaré dans un fil Twitter: «Slack, utilisé par des millions et des millions de personnes pour des discussions de conception critiques, DevOps, sécurité, fusions et acquisitions, la liste est infinie. les failles trouvées par ce chercheur entraînent l’exécution de commandes arbitraires sur l’ordinateur de l’utilisateur. Le TL; DR est wow. “

Cuthbert a supplié Slack de payer correctement: “Pour tous ces efforts, ils ont reçu 1750 $. Dix-sept cent cinquante dollars. @SlackHQ d’abord, les défauts sont une préoccupation assez importante, je veux dire que la validation est difficile mais allez, puis payez correctement, s’il vous plaît. Parce que cela vaudrait beaucoup plus sur exploit.in. “

L’entreprise avait même oublié de créditer Vegeris dans un article de blog promotionnel publié il y a deux mois. De plus, plutôt que de divulguer les détails de la vulnérabilité, la société a célébré sa fonctionnalité sandbox d’application cette fois-là.

C’est à ce moment que Vegeris a demandé à HackerOne la divulgation publique des résultats, la société a commencé à s’excuser sincèrement.

Le rapport de Ryder dit: “Je m’appelle Larkin Ryder et je suis actuellement directeur de la sécurité par intérim ici chez Slack. @Brandenjordan m’a fait prendre conscience de ce faux pas et je vous écris pour vous présenter des excuses très sincères pour tout manquement à la reconnaissance de votre travail. Nous apprécions beaucoup le temps et les efforts que vous avez investis pour rendre Slack plus sûr. “

Il a poursuivi: “Bien que l’équipe de sécurité n’ait pas rédigé ce billet de blog et que l’auteur n’ait aucune visibilité sur votre travail dans H1, nous devons prendre des mesures supplémentaires pour nous assurer que tous ceux qui ont contribué aux efforts d’amélioration dans ce domaine sont reconnus. Je vais enquêter faire des mises à jour appropriées à notre article de blog … Encore une fois, je suis désolé pour tout faux pas de notre part. “

À l’heure actuelle, ces vulnérabilités ont été corrigées. C’était un peu plus de cinq semaines après le rapport.