Un bug de Slack permet d’accéder aux conversations privées

Une vulnérabilité critique dans la populaire application de collaboration Slack permettrait l’exécution de code à distance. Les pirates pourraient obtenir un contrôle à distance complet sur l’application de bureau Slack avec un exploit réussi et ainsi accéder aux canaux privés, aux conversations, aux mots de passe, aux jetons et aux clés, ainsi qu’à diverses fonctions. Selon un rapport de sécurité, ils pourraient également potentiellement s’enfoncer davantage dans un réseau interne, en fonction de la configuration de Slack.

La faille de sécurité a été divulguée le 28 Août et implique des scripts intersites (XSS) et une injection HTML. Les applications Slack for Desktop (Mac/Windows/Linux) antérieurs à la version 4.4 sont vulnérables.

slack

«Avec n’importe quelle logique de redirection dans l’application, injection HTML ou JavaScript, il est possible d’exécuter du code arbitraire dans les applications de bureau Slack», a écrit un chasseur de bug utilisant le pseudo «oskarsv», qui a soumis un rapport sur la faille à Slack via la plateforme HackerOne (ce qui lui a rapporté 1500$). «Ce rapport illustre un exploit spécialement conçu consistant en une injection HTML, un contournement du contrôle de sécurité et une charge utile JavaScript de code d’exécution à distance.»

Selon les détails techniques divulgués, les attaquants pourraient déclencher un exploit en écrasant les fonctions «env» de l’application de bureau Slack pour créer un tunnel via BrowserWindow et ensuite exécuter du JavaScript arbitraire, dans ce qui est «un cas XSS étrange», a-t-il déclaré.

Détails techniques de la faille de Slack

Pour exploiter la faille, les attaquants auraient besoin de télécharger un fichier sur leur propre serveur compatible HTTPS avec une charge utile; ensuite, ils pourraient préparer un article Slack avec une injection HTML contenant l’URL d’attaque pointant vers cette charge utile (cachée dans une image). Après cela, il leur suffit de partager cette publication avec une chaîne ou un utilisateur Slack public. Si un utilisateur clique sur l’image piégée, le code sera exécuté sur la machine de la victime.

Quant à la réalisation de l’injection HTML, le problème réside dans la façon dont les articles Slack sont créés, selon le chercheur.

«[Créer un article] crée un nouveau fichier sur https://files.slack.com avec [une structure] JSON spécifique», selon le rapport. “Il est possible de modifier directement cette structure JSON, qui peut contenir du HTML arbitraire.”

Oskarsv a ajouté: «L’exécution de JavaScript est limitée par la politique de sécurité du contenu (CSP) et diverses protections de sécurité sont en place pour les balises HTML (c.-à-d. l’interdiction des iframes, applets, métas, scripts, formulaires, etc. et l’attribut cible est remplacé par _blank pour les balises A). Cependant, il est toujours possible d’injecter des balises de zone et de carte, qui peuvent être utilisées pour réaliser une exécution de code à distance en un clic. » Il a en outre expliqué que le lien URL vers la charge utile malveillante pouvait être écrit dans la balise de zone.

slack

Alternativement, oskarsv a également découvert que les e-mails (lorsqu’ils sont envoyés en texte clair) sont stockés et non filtrés sur les serveurs Slack – une situation qui peut être abusée afin de stocker la charge utile d’exécution de code à distance sans que les attaquants aient besoin de posséder leur propre hébergement.

“Puisqu’il s’agit d’un domaine de confiance, il peut contenir une page d’hameonnage avec une fausse page de connexion Slack ou un contenu arbitraire différent qui pourrait avoir un impact à la fois sur la sécurité et la réputation de Slack”, a-t-il expliqué. “Il n’y a aucun en-tête de sécurité ni aucune restriction pour autant que je sache et je suis sûr qu’un autre impact sur la sécurité pourrait être démontré avec suffisamment de temps.”

Quelle que soit l’approche, les exploits peuvent être utilisés pour exécuter n’importe quelle commande fournie par un attaquant, selon le chercheur.

«La charge utile peut être facilement modifiée pour accéder à toutes les conversations privées, fichiers, jetons, etc., sans exécuter de commandes sur l’ordinateur de l’utilisateur», a-t-il écrit, «[ou] accéder aux fichiers privés, clés privées, mots de passe, secrets, accès au réseau interne , etc.”

En outre, la charge utile pourrait être transformé en ver afin qu’elle soit republiée dans tous les espaces de travail des utilisateurs, a ajouté le chercheur.

Les utilisateurs doivent s’assurer que leurs applications de bureau Slack sont mises à niveau vers au moins la version 4.4 afin d’éviter les attaques. La faille de sécurité a été corrigé en Février, mais vient d’être divulgué en raison d’une interruption de divulgation sur le forum HackerOne qui était en vigueur depuis plusieurs mois.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x