Slack parchea la vulnerabilidad crítica del escritorio



La falla de ejecución remota de código podría permitir que un atacante exitoso controle completamente la aplicación de escritorio Slack en una máquina de destino.

Slack ha parcheado una vulnerabilidad crítica de ejecución remota de código que podría permitir a un atacante ejecutar código arbitrario en la versión de escritorio de su software package de colaboración, informan los investigadores.

Oskars Vegeris, un ingeniero de seguridad de Evolution Gaming, descubrió la falla y la compartió en privado con Slack en enero de 2020 a través de HackerOne. La vulnerabilidad tiene una puntuación CVSS entre 9 y 10 y podría permitir que un atacante se apoderara de la aplicación de escritorio Slack.

Con un exploit exitoso, un atacante podría obtener acceso a claves privadas, contraseñas, secretos, archivos y conversaciones dentro de Slack. Dependiendo de la configuración de Slack en un dispositivo de destino, también podrían obtener acceso a la red interna y explorar el entorno.

«Con cualquier redireccionamiento en la aplicación: redireccionamiento lógico / abierto, inyección de HTML o javascript, es posible ejecutar código arbitrario dentro de las aplicaciones de escritorio de Slack», explica Vegeris. en un informe, que detalla un exploit que consiste en una inyección de HTML, un desvío de command de seguridad y una carga útil de JavaScript RCE.

El exploit fue probado y funciona en las últimas versiones de Slack para escritorio (4.2 y 4.3.2) en Mac, Windows y Linux, agrega. Slack emitió una solución inicial para la vulnerabilidad en febrero se reveló a través de HackerOne el 31 de agosto.

Este problema existe en la forma en que se hacen las publicaciones de Slack, dice Vegeris. Los atacantes primero tendrían que cargar un archivo que contenga la carga útil de RCE en su propio servidor habilitado para HTTPS. Luego, crearían una nueva publicación de Slack, que crea un nuevo archivo en https://information.slack.com con una estructura JSON específica. Es posible para ellos editar directamente esta estructura JSON y agregar HTML arbitrario.

La ejecución de JavaScript está restringida por la Política de seguridad de contenido (CSP) de Slack, notas de Vegeris, y existen protecciones de seguridad para ciertas etiquetas HTML. Por ejemplo, «iframe», «applet», «meta», «script» y «formulario» están prohibidos y el atributo «concentrate on» se sobrescribe en _blank para las etiquetas A.

Sin embargo, descubrió que todavía es posible inyectar etiquetas de área y mapa, que se pueden usar para lograr la ejecución remota de código con un solo clic. Un atacante podría editar la estructura JSON e inyectar código malicioso utilizando la interfaz de usuario world-wide-web que proporciona Slack, dice Vegeris. La carga útil se puede modificar para acceder a conversaciones privadas, archivos y tokens sin ejecutar nuevos comandos en el dispositivo de la víctima.

Todo lo que un usuario tiene que hacer es hacer clic en la publicación maliciosa compartida a través de Slack y el código se ejecuta en su Computer. El HTML redirige la aplicación de escritorio del usuario al sitio world wide web del atacante, que responde con RCE JavaScript. El exploit pasa por alto el entorno de la aplicación de escritorio Slack, filtra un objeto Electron y ejecuta comandos arbitrarios en el dispositivo objetivo, explica.

«Básicamente, esto le da al atacante un control remoto full sobre la aplicación de escritorio de Slack sobrescribiendo las funciones env de la aplicación de escritorio de Slack y proporcionando un &#39túnel&#39 a través de BrowserWindow para ejecutar JavaScript arbitrario, es decir, un caso XSS extraño con acceso completo a cualquier cosa que tenga la aplicación de Slack. fácil acceso a canales privados, conversaciones, funciones, and many others. ”, escribe Vegeris.

El RCE en las aplicaciones de escritorio de Slack también podría hacerse «con gusanos», lo que significa que podría volver a publicarse en todos los espacios de trabajo de los usuarios después de hacer clic en él.

El investigador también encontró que los correos electrónicos enviados en texto plano se almacenan sin filtrar en los servidores de Slack en https://documents.slack.com. Con acceso directo, explica, se devuelven como texto / HTML sin descarga forzada. Él dice que esta funcionalidad podría permitir a un atacante almacenar la carga útil de RCE sin su propio alojamiento.

«Dado que es un dominio confiable, podría contener una página de phishing con una página de inicio de sesión de Slack falsa o contenido arbitrario diferente que podría afectar tanto la seguridad como la reputación de Slack», dice, señalando que no detectó ningún encabezado de seguridad ni otras restricciones.

Se insta a los usuarios de Slack a actualizar sus aplicaciones de escritorio a la versión 4.4 para reparar la falla.

El valor de la investigación en seguridad
Slack, una empresa con un valor de 20.000 millones de dólares, pagó a Vegeris solo 1.750 dólares por la vulnerabilidad RCE a través de su programa de recompensas por errores. También publicó una publicación de blog site sobre la falla en febrero y se olvidó de mencionar el trabajo de Vegeris, por el cual la compañía emitió recientemente una disculpa.

Los miembros de la comunidad de seguridad expresaron su decepción en un pago que pareció quedarse corto dada la cantidad de tiempo y esfuerzo que Vegeris puso en su redacción y divulgación, así como la gravedad de esta falla en una plataforma de colaboración que las organizaciones globales utilizan para discusiones sensibles en todas las partes del negocio: infosec , diseño, fusiones, etc.

Daniel Cuthbert, experto en seguridad y coautor del estándar OWASP ASVS, publicó un Hilo de Twitter pidiendo a Slack que «pague adecuadamente» por la investigación de vulnerabilidades. Exploits como este podrían venderse por mucho más de $ 1,750 si se comercializan en la Dim Net, señaló. Si otro investigador hubiera descubierto la vulnerabilidad primero, es posible que Slack no hubiera tenido la oportunidad de parchearla a tiempo.

Kelly Sheridan es la editora de own de Darkish Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original