Af Eskil Sørensen, 01/09/20
Kommunikationsværktøjet Slack har patchet en kritisk sårbarhed, der kan gøre det muligt for en angriber at afvikle vilkårlig kode i skrivebordsversionen og i praksis overtage den. Det skriver Dark Reading.
Det er en sikkerhedsekspert hos Evolution Gaming, der har opdaget sårbarheden og givet den videre til Slack i januar 2020. Sårbarheden har fået en CVSS-score på mellem 9 og 10, da den giver angribere mulighed for at få adgang til private nøgler, adgangskoder, filer og samtaler inden for Slack. Afhængig af konfigurationen af Slack kan de også få adgang til det interne netværk.
Sårbarheden er beskrevet i en rapport, der fortæller, at en udnyttelse består af en HTML-injection, omgåelse af sikkerhedskontrollen og RCE JavaScript payload. Udnyttelsen er blevet testet på de nyeste versioner af Slack til desktop (4.2 og 4.3.2) på Mac, Windows og Linux. Første løsning på problemet blev udsendt i januar, mens selve sårbarheden blev afsløret via HackerOne den 31. august.
Brugere af Slack opfordres til at opdatere deres desktop-applikationer til version 4.4.
Skuffelse over belønning
I sikkerhedskredse udtrykkes der ifølge Dark Reading skuffelse over, at Slack kun har udbetalt 1750 dollar til de eksperter, der har opdaget sårbarheden og meldt den til Slack. En viden om udnyttelse af en sårbarhed, der på Dark Web kunne indbringe langt mere, og som Slack i givet fald ikke ville kunne have mulighed for at patche i tide.
Slack oplyses til at have en værdi på 20 mia dollar.