Tenable ブログ
ブログ通知を受信する
Slack、ダウンロードによるWindowsデスクトップアプリのハイジャック脆弱性を修正
Tenableの研究者、David Wellsは、Slack Desktop for Windowsの脆弱性を発見しました。攻撃者はこの脆弱性を悪用し、Slack内でダウンロードされたファイルの保存場所を変更する可能性があります。Tenableは、弊社の開示方針に基づいてHackerOneを介してSlackと連携し、Slackは、この脆弱性に対処するために、Windowsデスクトップクライアントの新しいバージョンをリリースしました。ユーザーは使用しているSlackデスクトップアプリケーションが最新であることを確認する必要があります。
背景
Tenable Researchは、Slack Desktopバージョン3.3.7(Windows)にダウンロードハイジャックの脆弱性を発見しました。この脆弱性を悪用すると、攻撃者は巧妙に細工されたハイパーリンクをSlackチャネルに投稿したり、プライベートな会話をにクリック可能なリンクを追加し、文書のダウンロード場所のパスを変更することができます。この脆弱性のパッチはすでにリリースされています。悪用するにはユーザーの操作が必要で、CVSSv2のスコアは5.5(中)です。
Slackのアクティブユーザーは、1日あたり1000万人で、85,000の組織が有料版を使用しています。その内のWindowsアプリケーションユーザーの数は確認することはできません。
分析
攻撃者は"slack://"プロトコルハンドラを悪用し、Slackデスクトップアプリケーションの機密設定を変更することができます。“slack://settings/?update={‘PrefSSBFileDownloadPath’:’<pathHere>’}”などの細工されたリンクは、デフォルトのダウンロード先を変更します。ダウンロードパスが攻撃者が所有するSMB共有に変更されると、その後Slackでダウンロードされるすべてのドキュメントは攻撃者のサーバーに即座にアップロードされます。また、攻撃者はダウンロード後に被害者が文書を開く前に文書の内容を変更する可能性もあります。
ハイパーリンクのテキストは、Slackの「添付」機能を使って偽装することができ、ユーザーにリンクをクリックさせるために攻撃者はハイパーリンクの実際の統一リソース識別子を任意のカスタムテキストに置き換えることができます。
ベンダー応答
TenableはHackerOneを介して、SlackにWindows用Slackデスクトップアプリケーションに関連する脆弱性を報告しました。Slackは、Slack Desktop Application for Windows v3.4.0の最新アップデートの一部としてこのバグを修正しました。Slackの調査によれば、この脆弱性が実際に悪用された事例は見つかっていないそうです。また、被害にあったユーザーからの報告もありあせん。ユーザーには使用しているアプリとクライアントを最新バージョンにアップグレードすることをお勧めします。
影響
攻撃シナリオ:
攻撃者はSlackダイレクトメッセージングまたはSlackチャネルを介して攻撃しかけることができます。この場合、攻撃者は認証されている可能性があります。この攻撃経路を利用して、内部者は企業のスパイ活動、改ざん、または自分の範囲外の文書へのアクセスのためにこの脆弱性を悪用するおそれがあります。
あまり効果的ではありませんが、これらのハイパーリンク攻撃は、Slackチャネル認証なしで行うこともできます。この場合、攻撃者が作成したハイパーリンクを含む外部ソースからSlackチャネルに取り込まれた外部の.rssフィードまたはその他のコンテンツを介して実行されます。この攻撃は外部者によって仕掛けられる可能性がありますが、Slackを使用している標的にどの.rssがフィードされているか、などの情報がない場合、成功する確率が低くなります。
ダウンロードパスが変更されると、攻撃者はSlackアプリケーションでダウンロードされた文書を盗むだけでなく、それらの文書を変更することもできます。たとえば、請求書のような財務書類がダウンロードされた場合、攻撃者は口座番号を読み取るだけでなく、それらを変更することもできます。さらに、Office文書(Word、Excelなど)がダウンロードされた場合、攻撃者のサーバーは文書にマルウェアを挿入し、これらの文書を開くとPCは危険にさらされます。
ソリューション
Slack for Windowsがバージョン3.4.0に更新されていることを確認してください。SlackがMicrosoftインストールを介して導入されている場合、ここから手動で更新する方法の詳細についてご覧いただけます(管理者向け)。
追加情報
- Tenable Tech Blog on Mediumから、この脆弱性を発見した研究者、David Wellsの研究についての詳細をご覧いただけます。
- Tenableアドバイザリ
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!
March 10, 2023Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!
The Ransomware Ecosystem: In Pursuit of Fame and Fortune
July 28, 2022The key players within the ransomware ecosystem, including affiliates and initial access brokers, work together cohesively like a band of musicians, playing their respective parts as they strive for fame and fortune.
Brazen, Unsophisticated and Illogical: Understanding the LAPSUS$ Extortion Group
July 20, 2022Having gained the industry’s attention in the first months of 2022, the LAPSUS$ extortion group has largely gone quiet. What can we learn from this extortion group’s story and tactics?
Operational Technology in the DoD: Ensuring a Secure and Efficient Power Grid
April 19, 2024In an evolving threat landscape, the DoD must make sure that its mission-critical operations don’t experience power outages.
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Tenable and Thales Collaborate to Provide Cyber Defense Simulations to Better Secure Operational Technology Environments
April 18, 2024The heart of the Welsh Valleys is home to the Thales Ebbw Vale campus, a world-class facility jointly funded by the Welsh government as part of its regeneration program for the region. At the core of the facility is the Cyber Range, a simulation and virtualization platform for training, testing, exercising and R&D. Tenable has joined the lineup of solutions used to run real world simulations in this controlled environment.
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning