Slack’dagi zaiflik zararli dasturlarni kiritish uchun ishlatilishi mumkin.
Maxsus tayyorlangan havola yordamida tajovuzkor mijoz sozlamalarini o’zgartirishi va yuklab olish papkasini o’zgartirishi mumkin.
Tenable tadqiqotchilari korporativ xabar almashish ilovasi bo’lgan Slackning Windows versiyasida (3.3.7 versiyasi) tajovuzkorlarga yuklab olish manzilini o’zgartirish va fayllarni o’g’irlash, ularni o’zgartirish yoki zararli dasturlarni kiritish imkonini beruvchi zaiflikni aniqladilar. Muammo dasturning «slack://» protokoli ishlov beruvchisini amalga oshirishida. Slack kanalida joylashtirilgan maxsus tayyorlangan havoladan foydalanib, tajovuzkor mijoz sozlamalarini o’zgartirishi mumkin, masalan, yuklab olish papkasini tajovuzkor tomonidan boshqariladigan papkaga o’zgartirish. Agar jabrlanuvchi havolani bossa, barcha yuklab olingan fayllar tajovuzkorning SMB serveriga yo’naltiriladi.
Standart yuklab olish papkasini o’zgartirish orqali tajovuzkor nafaqat hujjatni o’g’irlashi, balki unga zararli kodni ham kiritishi mumkin. Agar foydalanuvchi bunday hujjatni ochsa, uning qurilmasi zararlanadi, deb tushuntirdi Tenable tadqiqotchisi Devid Uells.
Bundan tashqari, URLni muvaffaqiyatli kiritish uchun tajovuzkor hatto Slack kanaliga obuna bo’lishi shart emas – havolani RSS tasmasi orqali kanalga qo’shish mumkin.
«Men butun dunyo bo’ylab Slack foydalanuvchilari bo’lgan mashhur Reddit hamjamiyatida post nashr qilishim mumkin. Ushbu postda foydalanuvchini zararli slack:// ga yo’naltiradigan va ular bosganlarida sozlamalarini o’zgartiradigan veb-havola bo’ladi», deydi Uells. Bunday vaziyatda, havola Slack ni ishga tushirishi haqida ogohlantirish paydo bo’ladi, shuning uchun foydalanuvchi rozilik bermaguncha hujum ishlamaydi.
Slack jamoasi allaqachon Windows uchun Slack 3.4.0 ning yamoqlangan versiyasini chiqardi. Barcha foydalanuvchilarga iloji boricha tezroq yangi versiyaga yangilash tavsiya etiladi.
