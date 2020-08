Een ernstige kwetsbaarheid in de desktopapplicatie van de zakelijke berichtendienst Slack maakte het mogelijk voor aanvallers om op afstand code uit te voeren. Slack heeft het beveiligingslek verholpen en onderzoeker Oskars Vegeris die het probleem ontdekte en rapporteerde met 1750 dollar beloond.

De enige vereiste voor het uitvoeren van de aanval was dat de gebruiker op een Slack-bericht klikte. Vegeris omschrijft een scenario waarbij een aanvaller een kwaadaardig Slack-bericht maakt waarop de gebruiker klikt. Slack verbiedt het uitvoeren van JavaScript in berichten van gebruikers, maar het is wel mogelijk om HTML-tags te gebruiken. De onderzoeker maakt hiervan gebruik voor zijn aanval.

Zodra de gebruiker op het bericht klikt wordt de Slack-desktopapplicatie via een HTML-redirect naar een kwaadaardige website gestuurd. Deze website reageert met JavaScript, die vervolgens door de Slack-app wordt uitgevoerd. In een videodemonstratie laat Vegeris zien hoe hij na een enkele klik van de gebruiker calc.exe start. De onderzoeker merkt op dat de payload eenvoudig is aan te passen. Zo is het ook mogelijk om toegang tot privégesprekken, bestanden en tokens van de gebruiker te krijgen, zonder dat hiervoor commando's op het systeem van de gebruiker moeten worden uitgevoerd.

Daarnaast ontdekte Vegeris dat het domein files.slack.com kwetsbaar was voor cross-site scripting. Hierdoor zou het mogelijk zijn om phishingpagina's op het domein van Slack te hosten of de eerder genoemde exploit. De onderzoeker waarschuwde Slack eind januari, waarna het probleem begin maart werd verholpen.

Op Twitter is er de nodige kritiek dat Slack 1750 dollar voor een ernstige kwetsbaarheid betaalt. Het bedrijf biedt via HackerOne een bugbounty-programma en dat laat onderzoekers van tevoren weten dat er maximaal 1500 dollar voor kritieke kwetsbaarheden wordt uitgekeerd.