Исследователи из AT&T Alien Labs, подразделения AT&T Cybersecurity по анализу угроз, обнаружили уязвимость в популярной платформе для совместной работы Slack (популярной облачной платформы обмена сообщениями).
Указав уникальный URL-адрес, тело сообщения и целевой канал, пользователи могут отправлять сообщение на любой веб-перехватчик, используя URL-адрес для любой рабочей области.
И исследователи из AT&T Alien Labs заметили в платформе Slack некоторые функции, которые можно использовать для запуска новых фишинговых кампаний при создании веб-перехватчиков для внутреннего инструмента.
Подробнее об исследовании
Веб-перехватчики Slack ранее считались интеграцией с низким уровнем риска, но, по мнению исследователей AT&T Alien Labs, злоумышленники могли просто найти утечку веб-перехватчика Slack в Интернете и отправить вредоносное приложение на канал Slack, где пользователи установили его.
В итоге недостаток может привести к тому, что злоумышленники перехватят входящие веб-перехватчики в фишинговых атаках.
Эшли Грейвс, исследователь облачной безопасности в AT&T Alien Labs, входящей в состав AT&T Cybersecurity, написала блог, в котором задокументировала этот вывод:
Во-первых, переопределение канала позволяет вам переопределить ранее указанный целевой канал веб-перехватчика, добавив ключ «канал» к ваша полезная нагрузка JSON. Если вы получаете доступ к веб-перехватчику для одного канала, вы можете использовать его на других.
Документация Slack предполагает, что разрешенные целевые каналы основаны на исходном создателе веб-перехватчика… так что, если вы можете найти веб-перехватчик, созданный администратором - поздравляю, вы можете публиковать сообщения на каналах администратора!
По словам Джаввада Малика, специалиста по безопасности в KnowBe4:
Это интересный вектор атаки на Slack, который является одним из немногих популярных инструментов обмена сообщениями, используемых в организациях. Обеспокоенный аспект заключается в том, что люди, как правило, снижают бдительность при получении ссылок на платформах обмена сообщениями, особенно на мобильных устройствах.
Все это вместе может привести к значительному увеличению вероятности успеха целевой атаки. Вот почему сотрудники должны опасаться фишинговых атак не только из электронной почты, но и из всех социальных сетей. Кроме того, организации должны иметь средства управления обнаружением угроз и реагированием, чтобы в случае, если сотрудник действительно станет жертвой фишинг-атаки, ее можно было быстро выявить и устранить, прежде чем инцидент стал широко распространенным.
Информация взята из оригинальной статьи.
