Lücke in der Dateifreigabe von Slack gefunden

25. Oktober 2021, 11:42
  • security
  • slack
  • cybercrime
  • lücke
  • privatsphäre
image

Eine schon 2019 aufgezeigte Lücke in den Bildfreigabefunktionen von Messenger-Kanälen wurde nun auch bei Slack nachgewiesen.

Bei Slack wurde eine Lücke in der Dateifreigabe-Funktion gefunden, die böswilligen Akteuren erlaubt, Nutzer ausserhalb der Plattform zu identifizieren. Die als Cross-Site-Leak (XSLeak) bekannte Schwachstelle ermöglicht es Angreifern, die Same-Origin-Policy von Slack zu umgehen. Diese Sicherheitsfunktion des Browsers sollte eigentlich verhindern, dass Tabs und Frames verschiedener Domains gegenseitig auf Daten zugreifen können. Doch lässt sich diese Funktion relativ leicht umgehen, was der Sicherheitsforscher Julien Cretel ausführlich auf seinem Blog beschrieben hat.
Laut dem Sicherheitsportal 'Portswigger' setzt das Ausnutzen der Lücke voraus, dass der Angreifer über ein Benutzerkonto im selben Slack-Arbeitsbereich wie seine Ziele verfügt und ihnen direkte Nachrichten senden kann.
Ausgenutzt werden kann die Lücke, wenn ein Benutzer eine Datei in einem Direktnachrichtenkanal hochlädt. Wenn Nutzer ein Bild in ihre privaten Chat-Threads hochladen, erstellt der Host-Dienst eine eindeutige URL für diese Ressource, auf die nur die Teilnehmer innerhalb des Threads zugreifen können. Andere Benutzer, unabhängig davon, ob sie Teil der Slack-Gruppe sind oder nicht, werden auf die Hauptseite umgeleitet, wenn sie versuchen, die URL abzurufen. Slack verwende die Direktive "SameSite=lax", um sein Sitzungscookie zu schützen, was bedeutet, dass es nur unter bestimmten Bedingungen für Anfragen von Domains verfügbar ist, so die Erklärung weiter.
Cretel hat nun aber gezeigt, dass ein Angreifer diesen Mechanismus missbrauchen kann, um eine eindeutige URL für einen Zielbenutzer zu erstellen und dann die Browser der Besucher einer anderen Website zu zwingen, dieselbe URL anzufordern. Anhand der Antwort des Browsers könne der Angreifer feststellen, ob es sich bei dem Besucher um denselben Benutzer handelt. Dies könne beispielsweise für Spear-Phishing-Angriffe verwendet werden, führt 'Portswigger' aus.
Laut Cretel braucht es zur Umgehung dieses SameSite-Schutzes nur etwas einfachen JavaScript-Code. Allerdings funktioniert ein solcher Angriff nicht immer. Wer Slack auf dem Desktop, der mobilen App oder in Nicht-Chromium-Browsern wie Firefox und Safari nutzt, sei dagegen gefeit.
Cretel gibt an, den Fehler auf der Chromium-Bug-Reporting-Plattform gemeldet zu haben. Allerdings habe sich Slack geweigert, den Fehler zu beheben. Begründet habe man das damit, dass Slack im Gegensatz zu öffentlichen Diensten wie Twitter einen vertrauenswürdigen Arbeitsbereich bilde und "es zumindest ein gewisses Mass an Vertrauen oder zumindest Vertrautheit zwischen zwei Benutzern in einem Slack-Arbeitsbereich gibt". Der beste Weg, um derartige Angriffe zu verhindern, sei das Sicherstellen vertrauenswürdiger Chat-Mitglieder. Im Übrigen arbeite man ständig daran, die Sicherheit der Plattform zu gewährleisten.
Cretel ist zwar nicht sehr beeindruckt von der Antwort, freut sich aber, dass ihm erlaubt wurde, den Fehler offenzulegen. Vielleicht führe der Druck der Nutzer doch noch dazu, dass Slack sich dem Problem widmet.

Loading

Mehr zum Thema

image

Wie es zur Warnung vor Kaspersky kam

Dokumente des deutschen Amtes für Cybersicherheit stützen die Position von Kaspersky. Der Security-Anbieter kritisierte die BSI-Warnung als politischen Entscheid.

publiziert am 5.8.2022
image

Microsoft liefert neue Daten an SOCs

Die Redmonder erweitern ihr Security-Portfolio und geben Unternehmen neue Einblicke in die Bedrohungslage, Cyber-Crime-Banden und deren Tools.

publiziert am 4.8.2022
image

Bund beschafft zentrale Bug-Bounty-Plattform

Das NCSC leitet die künftigen Programme, Bug Bounty Switzerland liefert und verwaltet die Plattform.

publiziert am 3.8.2022
image

Elektronikhersteller Semikron meldet Cyberangriff

Der deutsche Spezialist für Leistungselektronik mit einer Niederlassung in Interlaken wurde mit Ransomware attackiert. Offenbar wurden auch Daten entwendet.

publiziert am 3.8.2022