Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Slack、ダウンロードによるWindowsデスクトップアプリのハイジャック脆弱性を修正

Tenableの研究者、David Wellsは、Slack Desktop for Windowsの脆弱性を発見しました。攻撃者はこの脆弱性を悪用し、Slack内でダウンロードされたファイルの保存場所を変更する可能性があります。Tenableは、弊社の開示方針に基づいてHackerOneを介してSlackと連携し、Slackは、この脆弱性に対処するために、Windowsデスクトップクライアントの新しいバージョンをリリースしました。ユーザーは使用しているSlackデスクトップアプリケーションが最新であることを確認する必要があります。

背景

Tenable Researchは、Slack Desktopバージョン3.3.7(Windows)にダウンロードハイジャックの脆弱性を発見しました。この脆弱性を悪用すると、攻撃者は巧妙に細工されたハイパーリンクをSlackチャネルに投稿したり、プライベートな会話をにクリック可能なリンクを追加し、文書のダウンロード場所のパスを変更することができます。この脆弱性のパッチはすでにリリースされています。悪用するにはユーザーの操作が必要で、CVSSv2のスコアは5.5(中)です。

Slackのアクティブユーザーは、1日あたり1000万人で、85,000の組織が有料版を使用しています。その内のWindowsアプリケーションユーザーの数は確認することはできません。

分析

攻撃者は"slack://"プロトコルハンドラを悪用し、Slackデスクトップアプリケーションの機密設定を変更することができます。“slack://settings/?update={‘PrefSSBFileDownloadPath’:’<pathHere>’}”などの細工されたリンクは、デフォルトのダウンロード先を変更します。ダウンロードパスが攻撃者が所有するSMB共有に変更されると、その後Slackでダウンロードされるすべてのドキュメントは攻撃者のサーバーに即座にアップロードされます。また、攻撃者はダウンロード後に被害者が文書を開く前に文書の内容を変更する可能性もあります。 

ハイパーリンクのテキストは、Slackの「添付」機能を使って偽装することができ、ユーザーにリンクをクリックさせるために攻撃者はハイパーリンクの実際の統一リソース識別子を任意のカスタムテキストに置き換えることができます。

ベンダー応答

TenableはHackerOneを介して、SlackにWindows用Slackデスクトップアプリケーションに関連する脆弱性を報告しました。Slackは、Slack Desktop Application for Windows v3.4.0の最新アップデートの一部としてこのバグを修正しました。Slackの調査によれば、この脆弱性が実際に悪用された事例は見つかっていないそうです。また、被害にあったユーザーからの報告もありあせん。ユーザーには使用しているアプリとクライアントを最新バージョンにアップグレードすることをお勧めします。

事業影響度

攻撃シナリオ:

攻撃者はSlackダイレクトメッセージングまたはSlackチャネルを介して攻撃しかけることができます。この場合、攻撃者は認証されている可能性があります。この攻撃経路を利用して、内部者は企業のスパイ活動、改ざん、または自分の範囲外の文書へのアクセスのためにこの脆弱性を悪用するおそれがあります。

あまり効果的ではありませんが、これらのハイパーリンク攻撃は、Slackチャネル認証なしで行うこともできます。この場合、攻撃者が作成したハイパーリンクを含む外部ソースからSlackチャネルに取り込まれた外部の.rssフィードまたはその他のコンテンツを介して実行されます。この攻撃は外部者によって仕掛けられる可能性がありますが、Slackを使用している標的にどの.rssがフィードされているか、などの情報がない場合、成功する確率が低くなります。

ダウンロードパスが変更されると、攻撃者はSlackアプリケーションでダウンロードされた文書を盗むだけでなく、それらの文書を変更することもできます。たとえば、請求書のような財務書類がダウンロードされた場合、攻撃者は口座番号を読み取るだけでなく、それらを変更することもできます。さらに、Office文書(Word、Excelなど)がダウンロードされた場合、攻撃者のサーバーは文書にマルウェアを挿入し、これらの文書を開くとPCは危険にさらされます。

解決策

Slack for Windowsがバージョン3.4.0に更新されていることを確認してください。SlackがMicrosoftインストールを介して導入されている場合、ここから手動で更新する方法の詳細についてご覧いただけます(管理者向け)。

追加情報

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。

Tenableブログを購読する

購読する
無料でお試し 今すぐ購入

Tenable.ioを試す

60 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

$2,275.00

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスを購入して節約しましょう

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

60 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

$3,578.00

今すぐ購入

無料でお試しください セールスにご連絡ください

Tenable.io Container Securityを試す

60 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについてもっと知る

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。