SlackがついにデスクトップアプリのRCEの欠陥を公開

セキュリティエンジニアのOskars Vegeris of Evolution GamingがSlackに複数の脆弱性を公開し、攻撃者がファイルをアップロードして別のSlackユーザーまたはチャネルと共有し、被害者のSlackアプリでエクスプロイトをトリガーできるようにしました。

脆弱性に関する広範な詳細が言及されている2020年1月にSlackと私的に書かれた詳細を共有しました。研究者によると、「アプリ内リダイレクト-ロジック/オープンリダイレクト、HTMLまたはJavaScriptインジェクションを使用すると、Slackデスクトップアプリ内で任意のコードを実行することが可能です。このレポートは、HTMLインジェクション、セキュリティ制御バイパス、およびRCE Javascriptペイロード。このエクスプロイトは、デスクトップ用の最新のSlack(4.2、4.3.2)バージョン(Mac / Windows / Linux)で動作することがテストされています。

VegerisはHackerOneの記事で5秒間のデモビデオを提供し、JSONファイルを使用してSlackデスクトップアプリ経由でネイティブ計算機アプリケーションの起動をトリガーする方法を示しました。このレポートは今週会社によって公表されました。エンジニアがSlackアプリを悪用するためにリストした複数の方法を示しています。

この悪用により、Slackのバックエンドではなく、ユーザーのコンピューターから任意のコードが実行されます。 Files.Slack.comコードの脆弱性により、攻撃者はHTMLインジェクション、任意のコード実行、クロスサイトスクリプティングを実行できます。

Vegerisが投稿したHTML / JavaScriptの概念実証のエクスプロイトは1つだけで、ペイロードをスラックにアップロードすることでネイティブ計算機アプリを簡単に起動できることを示しています。

このHTMLファイルへのURLがSlack JSON投稿表現のタグの領域に挿入されると、デバイスでワンクリックRCEが有効になります。エンジニアは、「エリアタグ内のURLリンクには、攻撃者が提供するコマンドを実行するSlackデスクトップアプリのこのHTML / JSエクスプロイトが含まれます。」

Vegerisは別のコメントで、「以前に報告されたキーロギングも適用される可能性がある」と述べています。2019年にマットラングロワに提出されたバグレポートを参照してください。

 調査結果では、エンジニアはわずか1,750ドルしか報われませんでした。多くのツイッターハンドルは、彼が不正な暗いウェブ市場でエクスプロイトを販売した場合、エンジニアが$ 1,750以上を稼ぐと言います。次のように、Slackに激突するユーザーのさまざまなインスタンスがあります。

 ハッカーでOWASP ASVS標準の共著者であるダニエルカスバートは、ツイッタースレッドで次のように述べています。「Slackは、ミッションクリティカルなデザインチャット、DevOps、セキュリティ、合併、買収のために何百万人もの人々によって使用されており、リストは無限です。この研究者が発見した欠陥により、ユーザーのコンピューター上で任意のコマンドが実行されます。TL; DRはすごいです。」

CuthbertはSlackに適切に支払うように要求しました:「そのすべての努力に対して、彼らは$ 1750を授与されました。17ドルと50ドル。これは、exploit.inのほうがはるかに価値があるからです。」

同社は、2か月前にリリースされたプロモーションブログの投稿でVegerisの功績を忘れていました。さらに、同社は脆弱性の詳細を公開するのではなく、その時点でアプリのサンドボックス機能を称賛しました。

これは、ベジェリスがHackerOneに調査結果の公開を要求したとき、会社は誠意をもって謝罪し始めました。

ライダーの報告によると、「私の名前はラーキンライダーで、現在Slackの暫定最高セキュリティ責任者を務めています。@ brandenjordanがこの失敗を知らせてくれたので、あなたの作品のクレジットで見落としがあったことを心からお詫びします。 Slackをより安全にするために費やしていただいた時間と労力に大変感謝しています。」

彼は続けて、「セキュリティチームはこのブログ投稿を作成せず、H1での作業を作成者が見ることができませんが、この領域の改善努力に貢献したすべての人が確実に認識されるように、追加の手順を実行する必要があります。調査します。私たちのブログ投稿を適切に更新します…繰り返しますが、私たちの側での失敗は大変申し訳ありません。」

現在、これらの脆弱性は修正されています。報告から5週間ちょっと。