Ένας ερευνητής αποκάλυψε στο Slack πολλαπλές ευπάθειες που θα μπορούσαν να επιτρέψουν σε έναν hacker να εισβάλει στον υπολογιστή ενός χρήστη. Η εταιρεία έδωσε στο χρήστη 1.750 $ ως ανταμοιβή για τις αποκαλύψεις του.
Χρησιμοποιώντας αυτές τις ευπάθειες, ένας εισβολέας θα μπορούσε απλώς να ανεβάσει ένα αρχείο και να το μοιραστεί με έναν άλλο χρήστη ή κανάλι του Slack για να ενεργοποιήσει το exploit στο Slack app ενός θύματος.
Ο μηχανικός ασφαλείας Oskars Vegeris της Evolution Gaming ανέφερε λεπτομέρειες σχετικά με τις ευπάθειες στη λεπτομερή αναφορά που μοιράστηκε ιδιωτικά με το Slack τον Ιανουάριο του 2020.
“Με οποιαδήποτε εντός της εφαρμογής redirection, HTML ή javascript injection είναι δυνατή η εκτέλεση αυθαίρετου κώδικα εντός των Slack desktop apps. Αυτή η αναφορά δείχνει ένα ειδικά κατασκευασμένο exploit που αποτελείται από HTML injection, παράκαμψη ελέγχου ασφαλείας και RCE Javascript payload. Αυτό το exploit δοκιμάστηκε στις τελευταίες εκδόσεις Slack για desktop (4.2, 4.3.2) (Mac / Windows / Linux) “, δήλωσε ο Vegeris.
Πολλαπλές κρίσιμες ευπάθειες
Η έκθεση της HackerOne που δημοσιοποιήθηκε αυτή την εβδομάδα απαριθμεί πολλούς τρόπους με τους οποίους μπορούν να “αξιοποιηθούν κακόβουλα” τα Slack apps.
Το τελικό αποτέλεσμα του exploit θα ήταν η αυθαίρετη εκτέλεση κώδικα από την πλευρά του πελάτη, δηλαδή από τον υπολογιστή του χρήστη και όχι από το backend του Slack.
Ένας εισβολέας θα μπορούσε να επιτύχει HTML injection, αυθαίρετη εκτέλεση κώδικα, καθώς και cross-site scripting (XSS) λόγω της εγγενούς αδυναμίας στον κώδικα files.slack.com.
Σε ένα ακόμη σχόλιο, ο Vegeris είπε, “Μπορεί να ισχύει και το keylogging που έχει αναφερθεί στο παρελθόν”, αναφερόμενος σε μια αναφορά σφαλμάτων του 2019 που υπέβαλε ο Matt Langlois.
Το γεγονός ότι ο Vegeris ανταμείφθηκε με μόλις 1.750 $ για την αποκάλυψη των σφαλμάτων, δεν σχολιάστηκε θετικά στην κοινότητα της κυβερνοασφάλειας.
Στο Twitter οι περισσότεροι χρήστες αναφέρουν ότι το Slack είναι μια εταιρεία με κέρδη δισεκατομμυρίων δολαρίων που χρησιμοποιείται από γιγαντιαίες εταιρείες. Η εταιρεία θα αντιμετώπιζε πολύ σοβαρά προβλήματα εάν αυτό το είδος του exploit είχε πωληθεί σε κάποια αγορά στο dark web (και φυσικά ο μηχανικός θα είχε κερδίσει πολύ περισσότερα από 1.750 $).
Ενώ το Slack μπορεί να έχει επιδιορθώσει τις ευπάθειες σε περίπου πέντε εβδομάδες από την στιγμή που ενημερώθηκε, περιπτώσεις όπως αυτές υπογραμμίζουν την πιθανή ζημιά που μπορεί να προκύψει από εφαρμογές ανταλλαγής μηνυμάτων που συνεχίζουν να αναπτύσσουν τη λίστα των χαρακτηριστικών τους (π.χ. μεταφορτώσεις αρχείων), ενώ υπάρχει κάποια ευπάθεια ασφάλειας.
