Door de fout bij het uitvoeren van externe code kan een succesvolle aanvaller de Slack-desktop-app op een doelcomputer volledig besturen.
Slack heeft een kritieke kwetsbaarheid voor het uitvoeren van externe code gepatcht waardoor een aanvaller willekeurige code kan uitvoeren in de desktopversie van zijn samenwerkingssoftware, melden onderzoekers.
Oskars Vegeris, een beveiligingsingenieur bij Evolution Gaming, ontdekte de fout en deelde deze in januari 2020 privé met Slack via HackerOne. De kwetsbaarheid heeft een CVSS-score tussen 9 en 10, waardoor een aanvaller de Slack-desktoptoepassing kan overnemen.
Met een succesvolle exploit kan een aanvaller toegang krijgen tot privésleutels, wachtwoorden, geheimen, bestanden en gesprekken binnen Slack. Afhankelijk van de configuratie van Slack op een doelapparaat, kunnen ze ook toegang krijgen tot het interne netwerk en de omgeving verkennen.
"Met elke in-app omleiding - logische / open omleiding, HTML- of javascript-injectie is het mogelijk om willekeurige code uit te voeren binnen Slack-desktopapps", legt Vegeris uit in een rapport, waarin een exploit wordt beschreven die bestaat uit een HTML-injectie, omzeiling van beveiligingscontrole en RCE JavaScript-payload.
De exploit is getest en werkt aan de nieuwste versies van Slack voor desktop (4.2 en 4.3.2) op Mac, Windows en Linux, voegt hij eraan toe. Slack bracht in februari een eerste oplossing voor de kwetsbaarheid uit; het werd op 31 augustus bekendgemaakt via HackerOne.
Dit probleem bestaat in de manier waarop Slack-berichten worden gemaakt, zegt Vegeris. Aanvallers zouden eerst een bestand met de RCE-payload op hun eigen HTTPS-server moeten uploaden. Ze zouden dan een nieuwe Slack-post maken, die een nieuw bestand op https://files.slack.com maakt met een specifieke JSON-structuur. Ze kunnen deze JSON-structuur direct bewerken en willekeurige HTML toevoegen.
De uitvoering van JavaScript wordt beperkt door het Content Security Policy (CSP) van Slack, Vegeris-notities en er zijn beveiligingsmaatregelen voor bepaalde HTML-tags. Zo zijn "iframe", "applet", "meta", "script" en "form" allemaal verboden en wordt het kenmerk "target" overschreven naar _blank voor A-tags.
Hij ontdekte echter dat het nog steeds mogelijk is om gebieds- en kaarttags te injecteren, die kunnen worden gebruikt om met één klik externe code uit te voeren. Een aanvaller zou de JSON-structuur kunnen bewerken en kwaadaardige code kunnen injecteren met behulp van de webgebruikersinterface die Slack biedt, zegt Vegeris. De payload kan worden gewijzigd om toegang te krijgen tot privégesprekken, bestanden en tokens zonder nieuwe opdrachten op het apparaat van het slachtoffer uit te voeren.
Het enige dat een gebruiker hoeft te doen, is op het kwaadaardige bericht klikken dat via Slack wordt gedeeld, en de code wordt op zijn pc uitgevoerd. De HTML leidt de desktop-app van de gebruiker om naar de website van de aanvaller, die antwoordt met RCE JavaScript. De exploit omzeilt Slack desktop-app env, lekt een Electron-object en voert willekeurige opdrachten uit op het doelapparaat, legt hij uit.
“In wezen geeft dit een aanvaller volledige controle op afstand over de Slack-desktop-app door de env-functies van de Slack-desktop-app te overschrijven en een 'tunnel' te bieden via BrowserWindow om willekeurig Javascript uit te voeren, dwz een rare XSS-zaak met volledige toegang tot alles wat de Slack-app heeft - gemakkelijke toegang tot privékanalen, gesprekken, functies enz. ”, schrijft Vegeris.
De RCE in Slack desktop-apps kan ook "wormbaar" worden gemaakt, wat betekent dat het opnieuw kan worden gepost naar alle gebruikerswerkruimten nadat erop is geklikt.
De onderzoeker ontdekte ook dat e-mails die in platte tekst werden verzonden, ongefilterd werden opgeslagen op Slack-servers op https://files.slack.com. Met directe toegang, legt hij uit, worden ze geretourneerd als tekst / HTML zonder gedwongen te downloaden. Hij zegt dat deze functionaliteit een aanvaller in staat zou kunnen stellen de RCE-payload op te slaan zonder hun eigen hosting.
"Omdat het een vertrouwd domein is, kan het een phishing-pagina bevatten met een valse Slack-inlogpagina of andere willekeurige inhoud die zowel de veiligheid als de reputatie van Slack kan beïnvloeden", zegt hij, en merkt op dat hij geen beveiligingskoppen of andere beperkingen heeft opgemerkt.
Slack-gebruikers worden aangespoord om hun desktopapplicaties bij te werken naar versie 4.4 om de fout te herstellen.
De waarde van veiligheidsonderzoek
Slack, een bedrijf met een waarde van $ 20 miljard, betaalde Vegeris slechts $ 1,750 voor de RCE-kwetsbaarheid via zijn bugbounty-programma. Het publiceerde in februari ook een blogpost over de fout en verzuimde het werk van Vegeris te vermelden, waarvoor het bedrijf onlangs zijn excuses aanbood.
Leden van de veiligheidsgemeenschap gaven hun stem teleurstelling in een uitbetaling die tekort leek te schieten gezien de hoeveelheid tijd en moeite die Vegeris heeft gestoken in zijn beschrijving en openbaarmaking, evenals de ernst van deze fout in een samenwerkingsplatform dat wereldwijde organisaties gebruiken voor gevoelige discussies in alle delen van het bedrijf: infosec , ontwerp, fusies, enzovoort.
Daniel Cuthbert, beveiligingsexpert en co-auteur van de OWASP ASVS-standaard, plaatste een Twitter thread Slack op om “correct te betalen” voor kwetsbaarheidsonderzoek. Exploits als deze zouden voor veel meer dan $ 1,750 kunnen worden verkocht als ze op het Dark Web worden verkocht, merkte hij op. Als een andere onderzoeker de kwetsbaarheid als eerste had ontdekt, had Slack misschien niet de kans gehad om deze op tijd te patchen.
Kelly Sheridan is de stafredacteur bij Dark Reading, waar ze zich richt op nieuws en analyse op het gebied van cyberbeveiliging. Ze is een bedrijfstechnologiejournalist die eerder verslag deed van InformationWeek, waar ze verslag deed van Microsoft, en Insurance & Technology, waar ze financiële ... Bekijk volledige bio
Aanbevolen literatuur:
Meer inzichten
