Die Spezialisten von Tenable Unternehmen disovered Sicherheitsanfälligkeit in Windows-Version von Corporate Slack Bote (Ausführung 3.3.7) dass ermöglicht Ändern Datei-Upload-Ziel und stehlen Dateien, ändern sie oder Malware-Programme hinzufügen.
Ter Problem ist bei der Umsetzung der Protokollhandler “locker://” in der Bewerbung. Mit dem Einsatz von speziell geformten Link, in Slack-Kanal veröffentlicht, Angreifer können Kunden Einstellung ändern, Zum Beispiel, ändern Ordner zum Download und auf Ordner, dass er kontrolliert. Wenn Opfer folgt dem Link, Alle Downloads auf dem Angreifer SMB-Server erhalten.Nach Downloads Angreifer durch Standardordner des etablierten Ändern können das Dokument nur stehlen, sondern auch darin Malware-Code implementieren. Wenn Benutzer öffnet ein solches Dokument, sein Gerät angesteckt werden, erklärt Fach David Wells.
Zur selben Zeit, für eine erfolgreiche Umsetzung von URL Angreifer auch nicht auf Slack-Kanal abonniert haben - Link kann in Kanal durch RSS-Feed erhalten.
„Ich kann einen Beitrag in der populären Gesellschaft Reddit veröffentlichen; Slack Nutzer aus der ganzen Welt auf sie abonniert. Diese Veröffentlichung beinhaltet Web-Link, das wird umleiten Benutzer auf der Malware locker:// und Einstellungen ändern, wenn Sie darauf klicken“, – sagt Wells.
Wie es ist zu beachten,, in ähnlicher Situation wird Meldung angezeigt, dass Link Slack Start initiiert, so wird Angriff unmöglich sein, wenn der Benutzer liefert nicht seine Zustimmung.
Slack-Team bereits freigegeben fester Slack 3.4.0 Ausführung Für Windows. Alle Benutzer werden empfohlen Updates so schnell wie möglich zu installieren.
Quelle: https://www.techrepublic.com
