Los Webhooks entrantes de Slack pueden ser armados en …



Los investigadores informan cómo los atacantes podrían utilizar una función en la plataforma de colaboración Slack para acceder a datos y mensajes corporativos.

Los investigadores de seguridad que exploran vectores de ataque en la plataforma de colaboración Slack han descubierto una forma en que sus Webhooks entrantes podrían aprovecharse para lanzar ataques de phishing contra los empleados.

Incoming Webhooks es una característica diseñada para brindar a las personas una manera fácil de compartir mensajes de aplicaciones externas en la plataforma Slack. Los usuarios pueden enviar un mensaje a cualquier webhook para el que conocen la URL, en cualquier espacio de trabajo, independientemente de si son miembros. Los webhooks usan solicitudes HTTP normales con una carga JSON, que incluye el mensaje y detalles opcionales.

Los webhooks flojos se perciben como una integración de bajo riesgo porque se supone que la configuración del webhook requiere seleccionar un canal objetivo para compartir un mensaje, lo que limitaría el alcance del abuso a un solo canal. También se supone que la URL única del webhook es un secreto y que el webhook solo acepta datos y, por lo tanto, no puede exponer datos confidenciales por sí mismo.

«Una inmersión más profunda en los webhooks muestra que esto no es del todo exacto», escribe Ashley Graves, investigadora senior de seguridad de AlienLabs en AT&T Cybersecurity, en una publicación de web site sobre su investigación. En enero, Graves había estado trabajando en una aplicación Slack con webhooks cuando se dio cuenta de que no funcionaban como esperaba. Esto la inspiró a profundizar en la herramienta.

Es importante tener en cuenta que Graves no encontró una vulnerabilidad en el propio Slack sin embargo, encontró formas sutiles de que los atacantes pudieran abusar de las funciones de la plataforma para apuntar a usuarios desprevenidos.

Para empezar, explica, los atacantes podrían anular el canal objetivo del webhook agregando la clave «channel» a su carga JSON. Graves dice que si obtienen acceso a un webhook para un canal, pueden usar el mismo webhook en otros. Esto puede hacer que envíen un webhook a #standard, #ingeniería u otro canal de Slack que probablemente tenga un grupo más grande de personas. En algunos casos, este movimiento podría anular los permisos de publicación de un canal, como la publicación solo de administrador.

Las URL de webhook se consideran secretas sin embargo, los investigadores encontraron 130,989 resultados de código público en GitHub que contiene estas URL. La mayoría de ellos tenían el valor único de webhook, señala.

Hay algunas razones por las cuales un atacante querría aprovechar Slack, que Graves señala «es utilizado por muchas empresas». Las discusiones pueden contener la propiedad intelectual de una empresa, mientras que los archivos cargados pueden contener datos confidenciales. «En Slack se llevan a cabo muchas discusiones delicadas y se supone que solo los empleados tienen conocimiento de eso», explica en su publicación. Con OAuth, alguien podría recuperar archivos y conversaciones, o enviar sus propios mensajes de Slack.

Cómo funciona
Si bien los datos no se pueden exponer a través de webhooks, un atacante puede encadenar los pasos para obtener acceso a la información y las capacidades de mensajería en un espacio de trabajo.

El proceso de lanzamiento de este ataque comienza con el descubrimiento de webhooks filtrados, que se pueden encontrar en GitHub. El siguiente paso es crear una aplicación que se pueda instalar públicamente. Graves señala que un atacante necesitará un servidor net para manejar el flujo de OAuth. Las aplicaciones flojas no requieren OAuth, pero en su ejemplo ella usó la API de Slack para acceder a datos en espacios de trabajo donde está instalada la aplicación incorrecta.

Cuando los usuarios intentan descargar la aplicación maliciosa, deberán aprobar los alcances OAuth solicitados que establece el atacante. Estos podrían configurarse para cualquier información a la que deseen acceder en Slack Como ejemplo, Graves eligió archivos: leer para acceder a los archivos de una víctima. La aprobación se envía al cliente OAuth, que recupera un token de acceso del servidor de autorizaciones. El token se puede usar para obtener datos utilizando el alcance de OAuth hasta que se revoque la autorización, explica.

Con la aplicación lista, el siguiente paso es enviar un mensaje al canal #common vinculado a la URL del webhook. Un atacante podría decir algo como «la configuración del webhook necesita ser actualizada» e incluir un enlace malicioso, que redirigiría a la víctima para instalar la aplicación. El atacante recibirá una respuesta de Slack con el token de acceso y los identificadores para el usuario y el equipo del usuario.

El token de acceso permitirá que un atacante acceda a los datos en nombre del usuario sin embargo, este acceso está limitado al acceso del solicitante y al alcance solicitado por la aplicación maliciosa. No hay indicios de que un usuario haya interactuado con un dominio fuera de Slack. Como resultado, Graves advierte a los usuarios de Slack que desconfíen de las aplicaciones que solicitan acceso excesivo a archivos o capacidades de mensajería.

«No es difícil diseñar el ataque», dice Graves, y señala que pudo hacerlo en un par de horas. Descubrir cómo configurar el cliente OAuth fue más difícil pero aún posible. «Es un código bastante trivial para escribir, para alguien con experiencia en lectura y escritura de código», continúa. «Lo que es más difícil de lograr … como todos los otros ataques de phishing, el usuario tiene que estar convencido de tomar medidas». Un atacante no tendrá éxito aquí sin alguna participación del usuario.

Estos hallazgos fueron compartidos con Slack, que respondió que las herramientas estaban funcionando como se esperaba. Si bien los datos no se pueden exponer a través de webhooks, Slack aconseja a los administradores del espacio de trabajo que invaliden las URL de webhooks expuestas públicamente y generen nuevas. Slack rasca GitHub para que los webhooks expuestos los invaliden y no puedan usarse en ataques como este. «Los webhooks están seguros siempre que permanezcan en secreto ya que la URL del webhook en sí misma es indiscutible», dice.

Para los administradores de Slack en entornos sensibles, Graves recomienda la lista blanca de aplicaciones para que las aplicaciones tengan que revisarse y aprobarse para su descarga. Si esto no es una opción, podrían detectar aplicaciones sospechosas de Slack OAuth que las personas están agregando al espacio de trabajo.

Contenido relacionado:

Kelly Sheridan es la Editora de own de Darkish Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance policy & Engineering, donde cubrió asuntos financieros … Ver biografía completa

Más strategies





Enlace a la noticia first