Szerző: Hlács Ferenc

2019. május 21. 08:30

Súlyos sebezhetőséget javított a Slack

A windwosos klienst érintő hiba illetéktelen hozzáférést engedett a beszélgetésekben megosztott fájlokhoz.

Komoly sebezhetőséget foltoz windowsos asztali kliensének legújabb frissítésében a Slack: mint azt a Tenable biztonsági szakértői felfedezték, a kollaborációs szoftver 3.3.7-es kiadásának sérülékenységét kihasználva lehetőség nyílt a szolgáltatásban továbbított fájlok illetéktelen megszerzésére, vagy akár manipulációjára. David Wells, a Tenable biztonsági kutatójának blogposztja szerint a probléma Slack hivatkozáskezelésében gyökerezett.

A windowsos kliens implementációja ugyanis lehetővé tette, hogy a slack:// protokoll-kezelőn keresztül a szoftver több beállításához is hozzáférjen, egyedi hivatkozások létrehozásával. Egy-egy ilyen hivatkozással a letöltések alapértelmezett útvonalát is lehetőség van megváltoztatni - elég ha az adott linket egy chatben a gyanútlan felhasználó lekattintja. A támadók dolgát megnehezíti ugyanakkor, hogy a Slack bizonyos karaktereket a hivatkozásokból kiszűr, ilyenek a kettőspontok is - ennek megfelelően a helyi meghajtón lévő útvonalakat nem tudnak megadni. Egy megosztott SMB útvonal ugyanakkor már gond nélkül beállítható egy megfelelően preparált hivatkozással.

slackhq

A sérülékenység demonstrálására Wells is ezt választotta, a Slack-beszélgetésben pedig a linkre kattintva sikeresen állította át az alapértelmezett letöltési utat saját SMB tárolójára, ahová a letölteni kívánt dokumentum meg is érkezett. A hivatkozásban ugyanakkor még így is feltűnő lehet a "setting" mező, az üzenet különböző szavaira pedig alapesetben nincs lehetőség hivatkozásokat beállítani a szolgáltatásban - ugyanakkor mint a szakértő felfedezte, a Slack API "attachments" funkciójával ez mégis kivitelezhető, így a beállításokat módosító, kártékony linket egy ártatlan hivatkozás mögé lehet bújtatni.

Rust? Kubernetes? FinOps? Melyiket válasszam?

Egy jó karrierdöntéshez sok apróság szükséges. Egy alapos hazai technológiai körkép azoban még hiányzott. Végre van ilyen, és a 21. kraftie adásban kidumáltuk.

Rust? Kubernetes? FinOps? Melyiket válasszam? Egy jó karrierdöntéshez sok apróság szükséges. Egy alapos hazai technológiai körkép azoban még hiányzott. Végre van ilyen, és a 21. kraftie adásban kidumáltuk.

A helyzetet súlyosbította, hogy a támadási módszer RSS feedeken keresztül is megvalósítható volt, így például ha egy Slack csatorna feliratkozott valamelyik népszerű Reddit oldalra, egy azon közzétett poszttal könnyen eljuttatható volt a preparált link a célba vett felhasználókhoz - ehhez pedig még arra sem volt szükség, hogy a támadó tagja legyen az adott csatornának.

Noha a kutató szerint a hozzáértőbb Slack felhasználóknak feltűnhet egy hasonló támadás, így is komoly biztonsági problémát jelent a sérülékenység. A szakértő a HakcerOne-on keresztül jelezte a Slack felé a sebezhetőséget, a vállalat pedig a 3.4.0-s kiadásban gyorsan ki is javította azt. A cég egyúttal ki is vizsgálta a hibát, és a biztonsági szakértő blogposztja szerint a vállalat nem talált arra utaló jelet, hogy azt korábban bárki kihasználta volna.

a címlapról