WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗi nghiêm trọng trong Slack cho phép truy cập kênh và cuộc trò chuyện riêng tư
Ứng dụng Slack tồn tại một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa (RCE). Khai thác thành công, kẻ tấn công có thể từ xa giành toàn quyền kiểm soát Slack dành cho Desktop - và từ đó truy cập vào các kênh riêng tư, các cuộc trò chuyện, mật khẩu, token, khóa cũng như các chức năng khác. Theo báo cáo, chúng cũng có thể thâm nhập sâu hơn vào mạng nội bộ, tùy thuộc vào cấu hình Slack.
Lỗi (điểm CvSS từ 9 đến 10) được tiết lộ hôm thứ Sáu tuần trước và liên quan đến kỹ thuật XSS và chèn HTML. Slack cho Desktop (Mac/Windows/Linux) trước phiên bản 4.4 đều bị ảnh hưởng bởi lỗ hổng này.
“Với bất kỳ chuyển hướng redirect-logic/open, HTML hoặc JavaScript trong ứng dụng, bạn có thể thực thi mã tùy ý trong các ứng dụng Slack dành cho Desktop”, thợ săn tiền tưởng “oskarsv” cho biết. oskarsv là người đã gửi báo cáo về lỗi cho Slack qua nền tảng HackerOne (và kiếm được 1.500 đô la).
Theo thông tin kỹ thuật được tiết lộ, kẻ tấn công có thể kích hoạt mã khai thác bằng cách ghi đè lên các chức năng “env” của ứng dụng Slack dành cho Desktop để tạo đường hầm thông qua BrowserWindow, sau đó thực thi JavaScript tùy ý.
Chi tiết kỹ thuật
Để khai thác lỗ hổng này, kẻ tấn công cần tải tệp lên máy chủ hỗ trợ HTTPS của riêng chúng với một payload và chuẩn bị một bài đăng trên Slack có chèn HTML chứa URL tấn công trỏ đến payload đó (ẩn trong một hình ảnh). Sau đó chúng chỉ cần chia sẻ bài đăng đó với kênh hoặc người dùng Slack công khai. Nếu người dùng nhấp vào hình ảnh này, mã sẽ được thực thi trên máy của nạn nhân.
Nhà nghiên cứu cho biết, để hoàn thành việc chèn HTML, vấn đề nằm ở cách tạo các bài đăng trên Slack.
oskarsv bổ sung: “Thực thi JavaScript bị hạn chế bởi Chính sách bảo mật nội dung (CSP) và các biện pháp bảo mật khác được áp dụng cho các thẻ HTML (tức là iframe, applet, meta, script, form… bị cấm và thuộc tính target được ghi đè thành _blank cho thẻ A). Tuy nhiên vẫn có thể chèn các thẻ khu vực và bản đồ, những thẻ này có thể được sử dụng để đạt được RCE với một cú nhấp chuột”. Liên kết URL đến tải trọng độc hại có thể được viết trong thẻ khu vực.
Ngoài ra oskarsv cũng phát hiện ra rằng các email (khi được gửi dưới dạng plaintext) được lưu trữ mà không được lọc trên các máy chủ Slack - một tình huống có thể bị lạm dụng để lưu trữ RCE payload mà kẻ tấn công không cần sở hữu máy chủ riêng.
“Vì đây là miền đáng tin cậy nên nó có thể chứa trang lừa đảo với trang đăng nhập Slack giả mạo hoặc nội dung tùy ý có thể ảnh hưởng đến cả bảo mật và danh tiếng của Slack. Không có tiêu đề bảo mật hoặc bất kỳ hạn chế nào theo như tôi thấy và tôi chắc chắn rằng một số tác động bảo mật khác có thể được chứng minh với đủ thời gian”.
Theo nhà nghiên cứu, bất kể cách tiếp cận nào, việc khai thác có thể được sử dụng để thực hiện bất kỳ lệnh nào do kẻ tấn công cung cấp.
“Tải trọng có thể dễ dàng được sửa đổi để truy cập tất cả các cuộc trò chuyện riêng tư, tệp, token… mà không cần thực hiện lệnh trên máy tính của người dùng [hoặc] truy cập vào tệp riêng tư, khóa cá nhân, mật khẩu, bí mật, truy cập mạng nội bộ…”.
Hơn nữa, tải trọng có thể được tạo thành “wormable” để đăng lại lên tất cả các không gian làm việc của người dùng, nhà nghiên cứu nói thêm.
Người dùng nên đảm bảo rằng các ứng dụng Slack dành cho Desktop của họ được nâng cấp lên ít nhất là phiên bản 4.4 để tránh bị tấn công. Lỗi này đã được vá vào tháng 2 nhưng giờ mới được tiết lộ.
Lỗi (điểm CvSS từ 9 đến 10) được tiết lộ hôm thứ Sáu tuần trước và liên quan đến kỹ thuật XSS và chèn HTML. Slack cho Desktop (Mac/Windows/Linux) trước phiên bản 4.4 đều bị ảnh hưởng bởi lỗ hổng này.
“Với bất kỳ chuyển hướng redirect-logic/open, HTML hoặc JavaScript trong ứng dụng, bạn có thể thực thi mã tùy ý trong các ứng dụng Slack dành cho Desktop”, thợ săn tiền tưởng “oskarsv” cho biết. oskarsv là người đã gửi báo cáo về lỗi cho Slack qua nền tảng HackerOne (và kiếm được 1.500 đô la).
Theo thông tin kỹ thuật được tiết lộ, kẻ tấn công có thể kích hoạt mã khai thác bằng cách ghi đè lên các chức năng “env” của ứng dụng Slack dành cho Desktop để tạo đường hầm thông qua BrowserWindow, sau đó thực thi JavaScript tùy ý.
Chi tiết kỹ thuật
Để khai thác lỗ hổng này, kẻ tấn công cần tải tệp lên máy chủ hỗ trợ HTTPS của riêng chúng với một payload và chuẩn bị một bài đăng trên Slack có chèn HTML chứa URL tấn công trỏ đến payload đó (ẩn trong một hình ảnh). Sau đó chúng chỉ cần chia sẻ bài đăng đó với kênh hoặc người dùng Slack công khai. Nếu người dùng nhấp vào hình ảnh này, mã sẽ được thực thi trên máy của nạn nhân.
Nhà nghiên cứu cho biết, để hoàn thành việc chèn HTML, vấn đề nằm ở cách tạo các bài đăng trên Slack.
oskarsv bổ sung: “Thực thi JavaScript bị hạn chế bởi Chính sách bảo mật nội dung (CSP) và các biện pháp bảo mật khác được áp dụng cho các thẻ HTML (tức là iframe, applet, meta, script, form… bị cấm và thuộc tính target được ghi đè thành _blank cho thẻ A). Tuy nhiên vẫn có thể chèn các thẻ khu vực và bản đồ, những thẻ này có thể được sử dụng để đạt được RCE với một cú nhấp chuột”. Liên kết URL đến tải trọng độc hại có thể được viết trong thẻ khu vực.
Ngoài ra oskarsv cũng phát hiện ra rằng các email (khi được gửi dưới dạng plaintext) được lưu trữ mà không được lọc trên các máy chủ Slack - một tình huống có thể bị lạm dụng để lưu trữ RCE payload mà kẻ tấn công không cần sở hữu máy chủ riêng.
“Vì đây là miền đáng tin cậy nên nó có thể chứa trang lừa đảo với trang đăng nhập Slack giả mạo hoặc nội dung tùy ý có thể ảnh hưởng đến cả bảo mật và danh tiếng của Slack. Không có tiêu đề bảo mật hoặc bất kỳ hạn chế nào theo như tôi thấy và tôi chắc chắn rằng một số tác động bảo mật khác có thể được chứng minh với đủ thời gian”.
Theo nhà nghiên cứu, bất kể cách tiếp cận nào, việc khai thác có thể được sử dụng để thực hiện bất kỳ lệnh nào do kẻ tấn công cung cấp.
“Tải trọng có thể dễ dàng được sửa đổi để truy cập tất cả các cuộc trò chuyện riêng tư, tệp, token… mà không cần thực hiện lệnh trên máy tính của người dùng [hoặc] truy cập vào tệp riêng tư, khóa cá nhân, mật khẩu, bí mật, truy cập mạng nội bộ…”.
Hơn nữa, tải trọng có thể được tạo thành “wormable” để đăng lại lên tất cả các không gian làm việc của người dùng, nhà nghiên cứu nói thêm.
Người dùng nên đảm bảo rằng các ứng dụng Slack dành cho Desktop của họ được nâng cấp lên ít nhất là phiên bản 4.4 để tránh bị tấn công. Lỗi này đã được vá vào tháng 2 nhưng giờ mới được tiết lộ.
Theo Threatpost
Chỉnh sửa lần cuối: