A
ferramenta corporativa Slack possui uma vulnerabilidade para
a versão desktop Windows que pode ser explorada de maneira remota: a brecha
permite que cibercriminosos alterem o local em que arquivos são baixados. Isso
até pode parecer não tão grave, mas é possível redirecionar os arquivos para um
servidor SMB (Server Message Block) separado e manipular o conteúdo dos
documentos baixados — e isso é muito grave.
"Se
você usa o Slack, cheque por atualizações: não deixe seu PC desprotegido"
Com a
capacidade de alterar o conteúdo de documentos, cibercriminosos podem incluir
malwares e roubar informações presentes tanto nos arquivos quanto no PC
infectado. Quem descobriu a falha foi o pesquisador David Wells, da Tenable
Research. Welles reportou o bug na plataforma HackerOne alertando que a brecha
se encontrava na versão 3.3.7 do Slack para Windows.
Wells
explica no relatório que a brecha permitiria que um invasor postasse
um hiperlinkespecialmente criado em um canal do Slack que
alterasse o caminho do local de download do documento quando clicado. As
vítimas ainda poderiam abrir o documento baixado por meio do aplicativo, no
entanto, isso seria feito a partir do compartilhamento SMB (Server Message
Block) do invasor.
“O
problema existe no gerenciador do protocolo "slack: //", que tem a
capacidade de alterar configurações sensíveis no Slack Desktop Application.
Esse caminho de download pode ser um compartilhamento SMB de propriedade do
invasor, o que faria com que todos os documentos futuros baixados no Slack
fossem enviados instantaneamente para o servidor do invasor. Depois de
configurar um compartilhamento SMB remoto, poderíamos enviar aos usuários ou
canais um link que redirecionaria todos os downloads para ele após clicarem no
link".
O
Slack possui mais de 10 milhões de usuários ativos e mais de 85 mil empresas
usando sua versão paga. Por isso, é importante atualizar o aplicativo e
garantir que ele esteja a última atualização instalada (v3.4.0), na qual o bug
já foi corrigido.
- Para todos os
detalhes da brecha, acesse aqui
Fonte: THREATPOST
Nenhum comentário:
Postar um comentário