Agrandir / Strangers dans votre chaîne Slack aurait pu déconner Slack pour les paramètres de téléchargement de Windows, la redirection des fichiers vers un dossier partagé malveillant. C’est corrigé maintenant. NOAH BERGER / AFP / Getty Images
Le 17 mai, des chercheurs de Tenable ont révélé qu’ils avaient découvert une vulnérabilité dans la version Windows du bureau application pour Slack, le service de collaboration largement utilisé. le vulnérabilité, dans Slack Desktop version 3.3.7 pour Windows, pourrait ont été utilisés pour changer la destination d’un téléchargement de fichier à partir d’un Slack conversation vers un partage de fichiers distant appartenant à un attaquant. Cela permettrait à l’attaquant de voler non seulement les fichiers qui étaient téléchargés par un utilisateur ciblé, mais permettent également à l’attaquant de modifier les fichiers et leur ajouter des logiciels malveillants. Quand les victimes ont ouvert les dossiers, ils auraient une mauvaise surprise.
Tenable a signalé la vulnérabilité à Slack via HackerOne. Slacka publié une mise à jour du client de bureau Windows qui ferme le vulnérabilité.
L’attaque potentielle utilisait une faiblesse dans la façon dont le “slack: //” gestionnaire de protocole a été implémenté dans l’application Windows. Par créant un lien spécialement créé posté dans un canal Slack, l’attaquant peut modifier les paramètres par défaut du client, en modifiant répertoire de téléchargement, par exemple, vers un nouvel emplacement avec une URL telle que sous la forme “slack: // settings /? update = {‘ PrefSSBFileDownloadPath ’:’ ’}}”. Cette chemin pourrait être dirigé vers un partage de fichiers SMB (Server Message Block) emplacement contrôlé par l’attaquant. Une fois cliqué, tout le futur les téléchargements seraient déposés sur le serveur SMB de l’attaquant. Cette lien pourrait être déguisé en lien Web – dans une preuve de concept, le attaque malveillante de Slack présentée comme un lien vers Google.
Enlarge/ Vue disséquée d’un message Slack spécialement construit avec une URL illicite that changes the location where the Slack desktop application forWindows saves downloads.
Dans un article de blog, David Wells de Tenable a passé en revue plusieurs manières de cette vulnérabilité pourrait être utilisée de manière malveillante. Une fois l’attaquant avait changé l’emplacement de téléchargement par défaut “, l’attaquant aurait pu ne pas seulement volé le document, mais y a même inséré un code malveillant lorsqu’elle est ouverte par victime après téléchargement (via le Slack application), leur machine aurait été infectée “, Wells a écrit.
Un attaquant n’aurait même pas besoin d’être membre d’un canal Slack Wells a noté que le lien pourrait être alimenté dans un canal via un flux RSS, par exemple, les canaux Slack peuvent être mis en place pour y souscrire. “Je pourrais faire un post à un très communauté Reddit populaire que les utilisateurs de Slack à travers le monde sont Wells a expliqué. Ce message pourrait inclure un lien Web. “qui va rediriger vers notre slack malicieux: // link et changer paramètres lorsque vous cliquez dessus. “Cependant, cette attaque provoquerait probablement une boîte de dialogue vous avertissant qu’un lien Web essayait d’ouvrir Slack; ne fonctionnerait pas à moins que la victime clique avec approbation.
