17 de mayo de 2019

Slack corrige la vulnerabilidad de secuestro de descargas en su aplicación para Windows

slack-730x407

Si usas Slack desde su aplicación de escritorio para Windows, deberás actualizarte a la versión más reciente, la versión 3.4.0, que corrige una vulnerabilidad que posibilitaba a los atacantes redirigir las descargas a un servidor de los mismos.

A pesar de la existencia de dicha vulnerabilidad, no existen indicios de haber sido explotada, por lo que de entrada no habría usuarios afectados. La vulnerabilidad fue descubierta por el investigador David Wells, perteneciente a la firma de seguridad Tenable, y desde dicha firma se ha trabajado con Slack a través de la plataforma HackerOne, para la eliminación de la misma.

Desde Tenable informan que los atacantes podrían abusar del protocolo "slack://" generando enlaces que modifican el lugar de descarga de los archivos, pudiendo apuntar a un recurso compartido del atacante mediante el uso del protocolo SMB de Windows, dando lugar a que las próximas descargas se realicen en el servidor del atacante.

Esto daba la posibilidad de que los atacantes podían no sólo acceder a estos archivos, sino también modificarlos para, entre otras posibilidades, introducir malware en los mismos, que afectarían los equipos de los usuarios afectados.

La propia firma apunta a que existían diferentes posibilidades de ataques, apuntando especialmente a los mensajes directos y canales en Slack en el que se pueda autenticar un atacante. También señala que los ataques tendrían menos posibilidades de ser exitosos en el caso de utilizar fuentes externas, como puedan ser los canales rss.

Incluso los usuarios más precavidos podrían ser engañados mediante el enmascaramiento de los enlaces a través de la función de adjuntos de Slack, pudiéndose modificar el enlace por otro texto personalizado, existiendo la posibilidad de hacer creer que están ante enlaces fiables.

En cualquier caso, lo más recomendable es actualizar la aplicación.




☛ El artículo completo original de Fco. José Hidalgo lo puedes ver aquí.

No hay comentarios:

Publicar un comentario