一位研究人員負責地向Slack披露了多個漏洞，攻擊者可以利用這些漏洞劫持用戶的計算機，而這些漏洞僅獲得了可憐的1,750美元。

使用這些漏洞，攻擊者可以簡單地上傳文件并與另一個Slack用戶或頻道共享，以觸發受害者的Slack應用程序上的漏洞利用。

[[339901]]

在2020年1月與Slack私下共享的詳細文章中，Evolution Gaming的安全工程師Oskars Vegeris共享了有關該漏洞的大量詳細信息。

“通過任何應用程序內重定向-邏輯/開放式重定向，HTML或javascript注入，都可以在Slack桌面應用程序中執行任意代碼。此報告演示了一種特制的利用，包括HTML注入，安全控制旁路和RCE Javascript有效負載。經過測試，此漏洞可在最新的Slack for Desktop(4.2，4.3.2)版本(Mac / Windows / Linux)上運行。”

5秒鐘的視頻演示Vegeris附帶HackerOne文章，展示了他如何使用JSON文件觸發通過Slack桌面應用程序啟動本機計算器應用程序。

多個嚴重漏洞

該公司本周公開的HackerOne報告顯示，工程師列出了可利用Slack應用程序的多種方式。

漏洞利用的最終結果是在客戶端(即用戶的計算機)上執行任意代碼，而不是在Slack的后端執行代碼。

由于files.slack.com代碼固有的弱點，攻擊者可以實現HTML注入，任意代碼執行以及跨站點腳本(XSS)。

Vegeris發布的僅一種HTML / JavaScript概念驗證(PoC)漏洞顯示了通過將有效負載上傳到Slack來啟動本機計算器應用程序或他們想要的任何其他東西是多么容易。

當將HTML文件的URL插入Slack JSON表示形式的區域標簽中時，將在用戶的計算機上啟用”一鍵式RCE''。

工程師說：“ area標簽內的URL鏈接將包含針對Slack Desktop應用程序的HTML / JS漏洞利用程序，該漏洞利用程序可以執行攻擊者提供的任何命令。”

Vegeris在另一條評論中表示，``以前報告的鍵盤記錄也可能適用''，指的是Matt Mattlolois提交的2019年錯誤報告。

那是賞金嗎?

Vegeris在投入大量時間進行負責任的披露后，僅獲得了1,750美元的漏洞賞金，這與Infosec并不相符。

Twitter上的普遍共識是，由200萬美元的大型公司使用的Slack建筑消息傳遞應用程序，如果在非法的暗網市場上出售此類漏洞，將面臨嚴重的后果(這將為工程師帶來不菲的收益)1,750美元)。

Mashable報告了進一步抨擊Slack的用戶實例，例如：OWASP ASVS標準的駭客兼合著者Daniel Cuthbert在Twitter帖子中說：``松弛，成千上萬的人用于關鍵任務設計聊天，DevOps，安全性，合并和收購，列表無窮無盡。該研究人員發現的缺陷導致在用戶計算機上執行任意命令。TL; DR很棒。”卡斯伯特(Cuthbert)懇求Slack為此類報告“適當支付”，因為此類漏洞將在黑市上出售更多。

“在所有這些努力中，他們獲得了1750美元的獎勵。一百七十美元。@ SlackHQ首先，缺陷是一個相當大的問題，我的意思是驗證很困難，但是來了，然后請適當付款。在exploit.in上。”

Slack在兩個月前發布的宣傳博客文章中贊揚了其“應用程序沙箱”功能，而不是透露導致其開發的漏洞詳細信息，該公司還忘記了歸功于Vegeris(現已更正)。那時Vegeris要求在本周公開披露有關HackerOne的信息，并邀請Slack致以誠摯的歉意。

“我叫Larkin Ryder，我目前在Slack擔任臨時首席安全官。@ brandenjordan使我意識到了這一失誤，我謹此致以誠摯的歉意，以感謝您對工作的任何監督。我們非常感謝您為使Slack更安全而投入的時間和精力，” Ryder在報告中說。

“雖然安全團隊沒有撰寫此博客文章，并且作者對您在H1的工作沒有了解，但我們應該采取額外的步驟，以確保所有對在此領域內的改進工作做出貢獻的人都得到認可。我將調查做出適當的更新再次，非常抱歉，我們的任何失誤，”萊德繼續說道，感謝工程師。專有的商業交流平臺Slack吹噓每天有超過1000萬活躍用戶，并且在許多工作場所中都是公認的品牌。

雖然Slack可能在報告的五周多時間內修補了漏洞，但此類情況強調了消息傳遞應用程序可能會造成的潛在損害，因為消息傳遞應用程序不斷增加其功能列表(例如文件上傳)和客戶數量，如果有安全弱點。