一位研究人员负责地向Slack披露了多个漏洞,攻击者可以利用这些漏洞劫持用户的计算机,而这些漏洞仅获得了可怜的1,750美元。
使用这些漏洞,攻击者可以简单地上传文件并与另一个Slack用户或频道共享,以触发受害者的Slack应用程序上的漏洞利用。
在2020年1月与Slack私下共享的详细文章中,Evolution Gaming的安全工程师Oskars Vegeris共享了有关该漏洞的大量详细信息。
“通过任何应用程序内重定向-逻辑/开放式重定向,HTML或javascript注入,都可以在Slack桌面应用程序中执行任意代码。此报告演示了一种特制的利用,包括HTML注入,安全控制旁路和RCE Javascript有效负载。经过测试,此漏洞可在最新的Slack for Desktop(4.2,4.3.2)版本(Mac / Windows / Linux)上运行。”
5秒钟的视频演示Vegeris附带HackerOne文章,展示了他如何使用JSON文件触发通过Slack桌面应用程序启动本机计算器应用程序。
多个严重漏洞
该公司本周公开的HackerOne报告显示,工程师列出了可利用Slack应用程序的多种方式。
漏洞利用的最终结果是在客户端(即用户的计算机)上执行任意代码,而不是在Slack的后端执行代码。
由于files.slack.com代码固有的弱点,攻击者可以实现HTML注入,任意代码执行以及跨站点脚本(XSS)。
Vegeris发布的仅一种HTML / JavaScript概念验证(PoC)漏洞显示了通过将有效负载上传到Slack来启动本机计算器应用程序或他们想要的任何其他东西是多么容易。
当将HTML文件的URL插入Slack JSON表示形式的区域标签中时,将在用户的计算机上启用”一键式RCE''。
工程师说:“ area标签内的URL链接将包含针对Slack Desktop应用程序的HTML / JS漏洞利用程序,该漏洞利用程序可以执行攻击者提供的任何命令。”
Vegeris在另一条评论中表示,``以前报告的键盘记录也可能适用'',指的是Matt Mattlolois提交的2019年错误报告。
那是赏金吗?
Vegeris在投入大量时间进行负责任的披露后,仅获得了1,750美元的漏洞赏金,这与Infosec并不相符。
Twitter上的普遍共识是,由200万美元的大型公司使用的Slack建筑消息传递应用程序,如果在非法的暗网市场上出售此类漏洞,将面临严重的后果(这将为工程师带来不菲的收益)1,750美元)。
Mashable报告了进一步抨击Slack的用户实例,例如:OWASP ASVS标准的骇客兼合著者Daniel Cuthbert在Twitter帖子中说:``松弛,成千上万的人用于关键任务设计聊天,DevOps,安全性,合并和收购,列表无穷无尽。该研究人员发现的缺陷导致在用户计算机上执行任意命令。TL; DR很棒。”卡斯伯特(Cuthbert)恳求Slack为此类报告“适当支付”,因为此类漏洞将在黑市上出售更多。
“在所有这些努力中,他们获得了1750美元的奖励。一百七十美元。@ SlackHQ首先,缺陷是一个相当大的问题,我的意思是验证很困难,但是来了,然后请适当付款。在exploit.in上。”
Slack在两个月前发布的宣传博客文章中赞扬了其“应用程序沙箱”功能,而不是透露导致其开发的漏洞详细信息,该公司还忘记了归功于Vegeris(现已更正)。那时Vegeris要求在本周公开披露有关HackerOne的信息,并邀请Slack致以诚挚的歉意。
“我叫Larkin Ryder,我目前在Slack担任临时首席安全官。@ brandenjordan使我意识到了这一失误,我谨此致以诚挚的歉意,以感谢您对工作的任何监督。我们非常感谢您为使Slack更安全而投入的时间和精力,” Ryder在报告中说。
“虽然安全团队没有撰写此博客文章,并且作者对您在H1的工作没有了解,但我们应该采取额外的步骤,以确保所有对在此领域内的改进工作做出贡献的人都得到认可。我将调查做出适当的更新再次,非常抱歉,我们的任何失误,”莱德继续说道,感谢工程师。专有的商业交流平台Slack吹嘘每天有超过1000万活跃用户,并且在许多工作场所中都是公认的品牌。
虽然Slack可能在报告的五周多时间内修补了漏洞,但此类情况强调了消息传递应用程序可能会造成的潜在损害,因为消息传递应用程序不断增加其功能列表(例如文件上传)和客户数量,如果有安全弱点。
