Tenable ブログ
ブログ通知を受信する
Slack、ダウンロードによるWindowsデスクトップアプリのハイジャック脆弱性を修正
Tenableの研究者、David Wellsは、Slack Desktop for Windowsの脆弱性を発見しました。攻撃者はこの脆弱性を悪用し、Slack内でダウンロードされたファイルの保存場所を変更する可能性があります。Tenableは、弊社の開示方針に基づいてHackerOneを介してSlackと連携し、Slackは、この脆弱性に対処するために、Windowsデスクトップクライアントの新しいバージョンをリリースしました。ユーザーは使用しているSlackデスクトップアプリケーションが最新であることを確認する必要があります。
背景
Tenable Researchは、Slack Desktopバージョン3.3.7(Windows)にダウンロードハイジャックの脆弱性を発見しました。この脆弱性を悪用すると、攻撃者は巧妙に細工されたハイパーリンクをSlackチャネルに投稿したり、プライベートな会話をにクリック可能なリンクを追加し、文書のダウンロード場所のパスを変更することができます。この脆弱性のパッチはすでにリリースされています。悪用するにはユーザーの操作が必要で、CVSSv2のスコアは5.5(中)です。
Slackのアクティブユーザーは、1日あたり1000万人で、85,000の組織が有料版を使用しています。その内のWindowsアプリケーションユーザーの数は確認することはできません。
分析
攻撃者は"slack://"プロトコルハンドラを悪用し、Slackデスクトップアプリケーションの機密設定を変更することができます。“slack://settings/?update={‘PrefSSBFileDownloadPath’:’<pathHere>’}”などの細工されたリンクは、デフォルトのダウンロード先を変更します。ダウンロードパスが攻撃者が所有するSMB共有に変更されると、その後Slackでダウンロードされるすべてのドキュメントは攻撃者のサーバーに即座にアップロードされます。また、攻撃者はダウンロード後に被害者が文書を開く前に文書の内容を変更する可能性もあります。
ハイパーリンクのテキストは、Slackの「添付」機能を使って偽装することができ、ユーザーにリンクをクリックさせるために攻撃者はハイパーリンクの実際の統一リソース識別子を任意のカスタムテキストに置き換えることができます。
ベンダー応答
TenableはHackerOneを介して、SlackにWindows用Slackデスクトップアプリケーションに関連する脆弱性を報告しました。Slackは、Slack Desktop Application for Windows v3.4.0の最新アップデートの一部としてこのバグを修正しました。Slackの調査によれば、この脆弱性が実際に悪用された事例は見つかっていないそうです。また、被害にあったユーザーからの報告もありあせん。ユーザーには使用しているアプリとクライアントを最新バージョンにアップグレードすることをお勧めします。
影響
攻撃シナリオ:
攻撃者はSlackダイレクトメッセージングまたはSlackチャネルを介して攻撃しかけることができます。この場合、攻撃者は認証されている可能性があります。この攻撃経路を利用して、内部者は企業のスパイ活動、改ざん、または自分の範囲外の文書へのアクセスのためにこの脆弱性を悪用するおそれがあります。
あまり効果的ではありませんが、これらのハイパーリンク攻撃は、Slackチャネル認証なしで行うこともできます。この場合、攻撃者が作成したハイパーリンクを含む外部ソースからSlackチャネルに取り込まれた外部の.rssフィードまたはその他のコンテンツを介して実行されます。この攻撃は外部者によって仕掛けられる可能性がありますが、Slackを使用している標的にどの.rssがフィードされているか、などの情報がない場合、成功する確率が低くなります。
ダウンロードパスが変更されると、攻撃者はSlackアプリケーションでダウンロードされた文書を盗むだけでなく、それらの文書を変更することもできます。たとえば、請求書のような財務書類がダウンロードされた場合、攻撃者は口座番号を読み取るだけでなく、それらを変更することもできます。さらに、Office文書(Word、Excelなど)がダウンロードされた場合、攻撃者のサーバーは文書にマルウェアを挿入し、これらの文書を開くとPCは危険にさらされます。
ソリューション
Slack for Windowsがバージョン3.4.0に更新されていることを確認してください。SlackがMicrosoftインストールを介して導入されている場合、ここから手動で更新する方法の詳細についてご覧いただけます(管理者向け)。
追加情報
- Tenable Tech Blog on Mediumから、この脆弱性を発見した研究者、David Wellsの研究についての詳細をご覧いただけます。
- Tenableアドバイザリ
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
Cybersecurity Snapshot: Guide Unpacks Event-Logging Best Practices, as FAA Proposes Stronger Cyber Rules for Airplanes
August 23, 2024Looking to sharpen your team’s event logging and threat detection? A new guide offers plenty of best practices. Plus, the FAA wants airplanes to be more resilient to cyberattacks. Meanwhile, check out the critical vulnerabilities Tenable discovered in two Microsoft AI products. And get the latest on ransomware trends, vulnerability management practices and election security!
Detecting Risky Third-party Drivers on Windows Assets
August 7, 2024Kernel-mode drivers are critical yet risky components of the Windows operating system. Learn about their functionality, the dangers they pose, and how Tenable's new plugins can help identify and mitigate vulnerabilities using community-driven resources like LOLDrivers.
Never Trust User Inputs -- And AI Isn't an Exception: A Security-First Approach
August 6, 2024As AI transforms industries, security remains critical. Discover the importance of a security-first approach in AI development, the risks of open-source tools, and how Tenable's solutions can help protect your systems.
Cybersecurity Snapshot: Schools Suffer Heavy Downtime Losses Due To Ransomware, as Banks Grapple with AI Challenges
August 30, 2024The cost of ransomware downtime in schools gets pegged at $500K-plus per day. Meanwhile, check out the AI-usage risks threatening banks’ cyber resilience. Plus, Uncle Sam is warning about a dangerous Iran-backed hacking group. And get the latest on AI-system inventories, the APT29 nation-state attacker and digital identity security!
AA24-241A : Joint Cybersecurity Advisory on Iran-based Cyber Actors Targeting US Organizations
August 28, 2024A joint Cybersecurity Advisory highlights Iran-based cyber actor ransomware activity targeting U.S. organizations. The advisory includes CVEs exploited, alongside techniques, tactics and procedures used by the threat actors.
The Data-Factor: Why Integrating DSPM Is Key to Your CNAPP Strategy
August 28, 2024DSPM solutions provide a comprehensive, up-to-date view into cloud-based data and risk. An integrated CNAPP and DSPM solution elevates this analysis to expose toxic combinations and security gaps across cloud environments.
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning