Security Week 36: Slack Critical Vulnerability

Na semana passada, detalhes de várias vulnerabilidades críticas no Slack Messenger vieram à tona. O pesquisador Oscars Vegeris encontrou um método para hackear quase completamente uma conta corporativa - com vazamento de dados, execução de código arbitrário no computador da vítima, capacidade de enviar uma mensagem infectada para outros usuários e hospedar um script malicioso em servidores Slack.







O ataque a uma aplicação desktop utilizando o framework Electron é realizado em duas etapas: o pesquisador primeiro encontrou uma maneira de usar duas tags HTML - área e mapa, e então com a ajuda deles carregou um script que executa código arbitrário na máquina da vítima. O script parece simples: um invasor compartilha um arquivo, clicando nele executa um código malicioso. Uma opção alternativa é roubar a sessão de um usuário com consequências compreensíveis: acesso total aos dados do chat corporativo. O bug foi relatado aos desenvolvedores por meio da plataforma HackerOne em janeiro. Em março, a parte mais séria do problema - o lançamento do código - foi eliminada, mas o fornecedor demorou mais seis meses, não permitindo a publicação dos dados de vulnerabilidade sem motivo específico.



Há dois meses, apareceu um post no blog do Slack sobre a necessidade de isolar qualquer conteúdo externo: essa inovação foi causada, entre outras coisas, por uma vulnerabilidade descoberta.





Em geral, tudo acabou bem. No entanto, a recompensa é digna de nota: $ 1.750 por uma grande violação de segurança. Além disso, é facilmente explorado - basta ter acesso ao chat atacado. Como o próprio pesquisador não publicou o artigo, mas pediu para fazer um tíquete público no HackerOne, você pode consultar a correspondência completa de um especialista independente com o fornecedor. A reivindicação por uma remuneração tão baixa partiu não do próprio pesquisador, mas do público indignado. Sim, de fato, vender tal buraco para um corretor de vulnerabilidades legítimo pode ser mais caro. É ainda mais lucrativo no mercado negro. Por outro lado, a Slack, ao contrário das empresas maiores, não promete muito dinheiro: ela tem um teto de US $ 1.500 direto na página de recompensa por insetos. Portanto, não se trata apenas de dinheiro: mesmo agora,quando a maioria dos fornecedores executa programas de recompensa por bug, a escolha de “de que lado ficar” ainda permanece.



O que mais aconteceu





Houve muita discussão na semana passada sobre tentar subornar um funcionário da Tesla para implantar um código malicioso na rede interna. Mas havia outra história relacionada ao fabricante de carros elétricos, sobre a capacidade de controlar remotamente qualquer carro Tesla devido a um bug na infraestrutura do servidor. O erro é antigo, de 2017, mas com detalhes novos e até relatório técnico .



Especialistas do Electronic Frontier Fund criticam a vigilância dos alunos durante o tempo de isolamento durante exames importantes. O artigo descreve as funções de software para fins semelhantes, o que não é muito diferente do spyware.



Uma vulnerabilidade no navegador Safari permiteroubar arquivos do usuário. Nesse caso, há também um ponto controverso no programa de recompensa de bug: especialistas da Apple admitiram a presença de um bug, mas prometeram fechá-lo na primavera de 2021, quase um ano após a notificação. Outra vulnerabilidade crítica foi fechada já no navegador Chrome.



O Facebook está alertando os parceiros de anúncios que o iOS 14 dificultará seriamente o perfil dos usuários para veicular anúncios relevantes. Estamos falando em proibir o uso de um único identificador de dispositivo de publicidade, se o proprietário do dispositivo assim desejar.



All Articles