加入收藏 | 设为首页 |

桑葚的功效与作用-挖洞经历 | 使用Slack应用程序盗取Slack用户的下载文件

海外新闻 时间: 浏览:331 次

本文中,Tenable安全团队研讨员David Wells同享了Windows版别Slack终端使用程序的一个缝隙,经过对Slack下载功用的使用,能够操控Slack受害者的下载文件存储设置,直接隐秘盗取Slack受害者的下载文件,深化使用可构成对受害者体系的长途操控。现在,该缝隙现已被Slack修正,并在最新的Slack v3.4.0版别中释放了补丁。

缝隙阐明

该缝隙原理在于,进犯者只需在Slack群组中发送一条经过假装结构的链接,上钩的受害者一旦点击加载,其Slack使用程序的下载文档存储方位就会发作更改,主动变为进犯者操控的长途SMB文件同享服务体系,之后,受害者在Slack使用中下载的恣意文件都会被“悄然”地存储(上传)到这个进犯者设置的长途SMB同享体系中。只要当受害者发现文件下载方位的反常后,手动修正回来,才干及时止损,堵截这种“保密”行为。

当然,经过这种办法,进犯者不仅能隐秘盗取受害者的下载文档,还能往下载过的文档中放入绑缚了木马的歹意文档,当受害得经过Slack翻开这种歹意文档之后,其电脑体系就被进犯者长途操控了。

缝隙原因在于,Slack使用程单纯疱疹病毒序对其本身功用 slack:// links(加链接)办法,以及可点击链接的不妥处理。以下是作者相关的缝隙发现同享。

逆向剖析Slack功用设置

Slack是根据Electron架构的使用程序,逆向剖析相对简单,作为Slack用户的我来说,我觉得Slack的“slack://”后加超链接的功用有点意思,其间或许存在安全隐患。结合逆向剖析成果,经过一番研讨,我在Slack逆向成果中找到了与“slack://”links功用对应的,用来处理这以后链接(links)的代码模块 - protocol-link.ts,从中能够得知,设置 slack://setting+link 款式,点击之后就能使Slack程序的某些功用发作更改。

而在另一个模块Settings-Reducer.ts中,能够发现Slack功用设置更改的一切相关代码:

也便是说,能够经过slack://settings+link的办法,完成对Slack程序一切功用设置的更改。

完成Slack下载文档存储方位的 隐秘更改

根据以上逆向发现,我发现可经由“PrefSSBFileDownloadPath”参数设置来对Slack文档下载存储方位进行更改,经过对它的设置,能够完成点击 slack://settings+link 办法结构的链接就能更改Slack下载文档存储方位,如下:

“slack://settings/?update={‘PrefSSBFileDownloadPath’:’’}”

其间的部份是能够精心结构的一点。但不巧的是,Slack对以上的链接结构是具有特别字符过滤机制的,其间的冒号“:”标明这需求供给一个本地的根目录驱动途径。之后,我想到了SMB同享办法,这种办法不需求供给本地根目录驱动途径,但却能够契合其存储方位要求,完全能够绕过Slack在此的过滤防护。

所以,我自己架设了一个长途SMB服务体系35.193.130.2,然后slack://settings+link就变为:

这样一来,当我把这个slack://settings+link发送给其它Slack用户后,一旦对方点击,其Slack使用程序中的文档下载存储方位就主动变为35.193.130.2\apt:

当然,当对方执行了某个文档的下载后:

就会主动把该文档存储(上传)到我操控的35.193.130.2中来:

缝隙使用的进犯途径

从实际环境来说,slack://settings+link应该经过必要的编码或含糊,要不然某些有安全意识的Slack用户一眼就会识破,不会点击它。针对这种状况,有两种解决办法。

参加同一Slack群组的用户

这种在同一Slack群组中的成员用户,怎样来完成这种进犯呢?在研讨了Slack的阐明文档之后,我发现Slack制止在群组音讯中呈现超链接相关字眼:

但经过对Slack API文档的阅览剖析,我发现能够在附件“attachments”功用中来完成超链接的结构,具体办法是在Slack的POST提交恳求中,增加一个名为“attachment” 的恳求,以合法网站办法把slack://settings+link嵌入到其间,结构出咱们想要的设置更改链接,如下:

当这条POST办法的音讯提交到Slack群组中后,它对Slack用户显出的是合法的链接“http://google.com” ,但其实点击之后,加载的却是咱们结构的设置更改链接:

因而,“上钩”的Slack用户点击之后,他Slack程序的文档下载存储方位就会变为我设置的长途SMB体系。

未在同一Slack群组的其它Slack用户

除了在同一Slack群组的用户,那么这个缝隙的使用规模还能不能再扩展呢?也便是说,假如不相互参加同一个Slack群组,能否向其他Slack用户发送歹意链接使用这个缝隙?答案是能够的。

Slack群组能够订阅RSS推送,并能够用包括链接的站点更新发送给群组。为此,咱们能够想像一种场景,假定某个十分受欢迎的reddit.com论坛模块,有很多Slack用桑葚的功效与作用-挖洞经历 | 使用Slack应用程序盗取Slack用户的下载文件户都订阅了这个论坛,那么我在上面发布一个经歹意结构的slack://settings+link链接会怎样呢?作为测验之用,我在一个私家Reddit论坛中进行了发贴,发贴中包括有一个正常的超链接。因为Reddit论坛不允许直接的slack:// links链接,所以我又结构了从正常的超链接跳转到slack:// links链接的办法,如下:

这条帖子内容发布之后,订阅了这个Reddit论坛模块的用户就会收到Reddit新帖子条目的更新提示,点击提示进入后就能预览到咱们结构的歹意链接:

但这个技巧存在一个小小的缺乏,那便是当用户点击其间的歹意链接后,浏览器会跳出如下的使用切换提示框,只要点击“Yes”后,用户Slack程序的文档下载存储方位才会发作改动:

总结

该缝隙的使用技能或许会被一些在行的具有安全意识的Slack用户识破,可是,很多网络垂钓事情的经历标明,用户最好桑葚的功效与作用-挖洞经历 | 使用Slack应用程序盗取Slack用户的下载文件不要容易点击来历不明的网页链接,尤其是,桑葚的功效与作用-挖洞经历 | 使用Slack应用程序盗取Slack用户的下载文件该缝隙能够经过假装的RSS推送构成大规模影响。进犯者经过设置Slack用户的文档下载存储方位,能够容易操控受害者的下载文件,进犯者也能够修正这些下载文件,在其间绑缚木马等歹意软件。当受害者翻开Slack中的下载文件时,其实便是与进犯者操控的长途SMB存储体系进行了交互,其翻开的下载文件或许是被进犯者绑缚过木马的文件,那么,进犯者将会有更深化的侵略浸透或许。

还好,缝隙上报后,经Slack查询标明,现在为止桑葚的功效与作用-挖洞经历 | 使用Slack应用程序盗取Slack用户的下载文件没有任何该缝隙被在野使用过的头绪或陈述。

*参阅来历:medium,clouds编译,转载请注明来自FreeBuf.COM

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。