Szerző: Hlács Ferenc

2019. május 21. 08:30

Súlyos sebezhetőséget javított a Slack

A windwosos klienst érintő hiba illetéktelen hozzáférést engedett a beszélgetésekben megosztott fájlokhoz.

Komoly sebezhetőséget foltoz windowsos asztali kliensének legújabb frissítésében a Slack: mint azt a Tenable biztonsági szakértői felfedezték, a kollaborációs szoftver 3.3.7-es kiadásának sérülékenységét kihasználva lehetőség nyílt a szolgáltatásban továbbított fájlok illetéktelen megszerzésére, vagy akár manipulációjára. David Wells, a Tenable biztonsági kutatójának blogposztja szerint a probléma Slack hivatkozáskezelésében gyökerezett.

A windowsos kliens implementációja ugyanis lehetővé tette, hogy a slack:// protokoll-kezelőn keresztül a szoftver több beállításához is hozzáférjen, egyedi hivatkozások létrehozásával. Egy-egy ilyen hivatkozással a letöltések alapértelmezett útvonalát is lehetőség van megváltoztatni - elég ha az adott linket egy chatben a gyanútlan felhasználó lekattintja. A támadók dolgát megnehezíti ugyanakkor, hogy a Slack bizonyos karaktereket a hivatkozásokból kiszűr, ilyenek a kettőspontok is - ennek megfelelően a helyi meghajtón lévő útvonalakat nem tudnak megadni. Egy megosztott SMB útvonal ugyanakkor már gond nélkül beállítható egy megfelelően preparált hivatkozással.

slackhq

A sérülékenység demonstrálására Wells is ezt választotta, a Slack-beszélgetésben pedig a linkre kattintva sikeresen állította át az alapértelmezett letöltési utat saját SMB tárolójára, ahová a letölteni kívánt dokumentum meg is érkezett. A hivatkozásban ugyanakkor még így is feltűnő lehet a "setting" mező, az üzenet különböző szavaira pedig alapesetben nincs lehetőség hivatkozásokat beállítani a szolgáltatásban - ugyanakkor mint a szakértő felfedezte, a Slack API "attachments" funkciójával ez mégis kivitelezhető, így a beállításokat módosító, kártékony linket egy ártatlan hivatkozás mögé lehet bújtatni.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A helyzetet súlyosbította, hogy a támadási módszer RSS feedeken keresztül is megvalósítható volt, így például ha egy Slack csatorna feliratkozott valamelyik népszerű Reddit oldalra, egy azon közzétett poszttal könnyen eljuttatható volt a preparált link a célba vett felhasználókhoz - ehhez pedig még arra sem volt szükség, hogy a támadó tagja legyen az adott csatornának.

Noha a kutató szerint a hozzáértőbb Slack felhasználóknak feltűnhet egy hasonló támadás, így is komoly biztonsági problémát jelent a sérülékenység. A szakértő a HakcerOne-on keresztül jelezte a Slack felé a sebezhetőséget, a vállalat pedig a 3.4.0-s kiadásban gyorsan ki is javította azt. A cég egyúttal ki is vizsgálta a hibát, és a biztonsági szakértő blogposztja szerint a vállalat nem talált arra utaló jelet, hogy azt korábban bárki kihasználta volna.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról