Специалисты компании Tenable обнаружили уязвимость в Windows-версии корпоративного мессенджера Slack (версия 3.3.7), которая предоставляла возможность изменить место назначения загрузки файлов и украсть файлы, изменить их либо добавить вредоносное ПО.
Проблема кроется в реализации обработчика протокола "slack://" в приложении. С помощью специально сформированной ссылки, опубликованной в Slack-канале, злоумышленник может модифицировать настройки клиента, например, изменить папку загрузки и указать путь на подконтрольную ему папку. Если жертва перейдет по ссылке, все загрузки будут попадать на SMB-сервер злоумышленника.
После изменения установленной по умолчанию папки загрузки атакующий не только сможет украсть документ, но и внедрить в него вредоносный код. Если пользователь откроет такой документ, его устройство окажется инфицированным, пояснил сотрудник Tenable Дэвид Уэллс (David Wells).
При этом для успешного внедрения URL атакующему даже не потребуется подписываться на Slack-канал – ссылка может попасть в канал через RSS-ленту.
«Я могу опубликовать пост в популярном сообществе Reddit, на которое подписаны пользователи Slack по всему миру. Эта публикация будет включать web-ссылку, которая перенаправит пользователя на вредоносный slack:// и изменит настройки при переходе по ней», - говорит Уэллс. Как отмечается, в подобной ситуации отобразится предупреждение о том, что ссылка инициирует запуск Slack, поэтому атака не сработает, если пользователь не предоставит свое согласие.
Команда Slack уже выпустила исправленную версию Slack 3.4.0 для Windows. Всем пользователям рекомендуется обновиться до новой версии как можно скорее.