Slack finalmente revela as falhas de RCE em seu aplicativo para desktop

O engenheiro de segurança Oskars Vegeris da Evolution Gaming divulgou várias vulnerabilidades no Slack, permitindo que os invasores carreguem um arquivo e compartilhem com outro usuário ou canal do Slack para acionar a exploração no aplicativo Slack das vítimas.

A compartilhou os detalhes escritos em particular com o Slack em janeiro de 2020, onde detalhes extensos sobre a vulnerabilidade são mencionados. De acordo com o pesquisador, “com qualquer redirecionamento no aplicativo – redirecionamento lógico / aberto, injeção de HTML ou javascript, é possível executar código arbitrário em aplicativos de desktop Slack. Este relatório demonstra uma exploração especificamente criada que consiste em injeção de HTML, desvio de controle de segurança e uma carga útil Javascript RCE. Este exploit foi testado como funcionando nas últimas versões do Slack para desktop (4.2, 4.3.2) (Mac / Windows / Linux). “

Vegeris forneceu um vídeo de demonstração de 5 segundos com a descrição do HackerOne mostrando como ele usou um arquivo JSON para iniciar o lançamento de um aplicativo de calculadora nativo por meio do aplicativo de desktop Slack. Relatório divulgado pela empresa nesta semana. Ele mostra várias maneiras que o engenheiro listou para explorar o aplicativo Slack.

Essa exploração resulta na execução arbitrária de código no computador do usuário e não no back-end do Slack. Fraquezas no código Files.Slack.com permitem que um invasor obtenha injeção de HTML, execução arbitrária de código e script entre sites.

Vegeris postou apenas um exploit de prova de conceito de HTML / JavaScript que mostra como é fácil iniciar o aplicativo nativo de calculadora, carregando a carga útil para o slack.

Quando a URL para este arquivo HTML é injetada na área da tag da representação de postagem JSON do Slack, permitiria o RCE de um clique no dispositivo. O engenheiro declarou: “O link de URL dentro da tag de área conteria este exploit HTML / JS para aplicativos Slack Desktop que executa qualquer comando fornecido pelo invasor.”

Vegeris, em outro comentário disse: “O keylogging relatado anteriormente também pode ser aplicável”, consulte o relatório de bug arquivado em Matt Langlois em 2019.

 Pelas descobertas, o engenheiro foi recompensado com míseros US $ 1.750. Muitos usuários do Twitter dizem que o engenheiro ganharia mais de US $ 1.750 se vendesse o exploit em mercados ilícitos da dark web. Existem vários casos de usuários atacando o Slack, como este:

 Daniel Cuthbert, hacker e co-autor do padrão OWASP ASVS disse em um tópico do Twitter: “Slack, usado por milhões e milhões para chats de design de missão crítica, DevOps, segurança, fusões e aquisições, diabos a lista é infinita. as falhas encontradas por este pesquisador resultam na execução de comandos arbitrários no computador do usuário. O TL; DR é incrível. “

Cuthbert implorou que Slack pagasse corretamente: “Por todo esse esforço, eles receberam US $ 1.750. Dezessete e CINQÜENTA pratas. @SlackHQ em primeiro lugar, as falhas são uma grande preocupação, quero dizer, a validação é difícil, mas vamos lá, pague corretamente, por favor. Porque isso valeria muito mais em exploit.in. “

A empresa até se esqueceu de dar crédito a Vegeris em uma postagem promocional no blog lançada há dois meses. Além disso, em vez de divulgar os detalhes da vulnerabilidade, a empresa celebrou seu recurso sandbox de aplicativos naquela época.

Foi quando Vegeris solicitou ao HackerOne a divulgação pública das descobertas, a empresa começou a pedir desculpas sinceras.

O relatório de Ryder diz: “Meu nome é Larkin Ryder e atualmente estou servindo como diretor de segurança interino aqui na Slack. @Brandenjordan me informou sobre esse erro e estou escrevendo para transmitir minhas sinceras desculpas por qualquer omissão no crédito de seu trabalho. Agradecemos muito o tempo e esforço que você investiu para tornar o Slack mais seguro. “

Ele continuou: “Embora a equipe de segurança não tenha sido o autor desta postagem do blog e o autor não tenha visibilidade do seu trabalho no H1, devemos tomar medidas extras para garantir que todos os que contribuíram para os esforços de melhoria nesta área sejam reconhecidos. Eu investigarei fazendo as atualizações apropriadas na postagem do nosso blog … Mais uma vez, sinto muito por qualquer erro de nossa parte. “

Atualmente, essas vulnerabilidades foram corrigidas. Passaram-se pouco mais de cinco semanas após o relatório.