信息安全公司AT&T Alien Labs揭露了一種使用協作通信軟件Slack的Webhooks,來對使用者進行釣魚攻擊的手法,而Slack也主動搜索洩漏的URL使其無效,並呼籲管理者妥善保管Webhook URL。
Incoming Webhooks是一種將應用程序的信息傳送進Slack的方法,其提供一個唯一的URL,應用程序可以利用該URL以JSON作為載體,傳送文字信息以及選項,但安全人員卻發現,攻擊者利用這個可讓開發者從外部傳送數據到Slack的簡單方式,對使用者進行釣魚攻擊。
問題發生在頻道複寫功能,這個功能讓JSON載體只要增加頻道鍵值,就能快速的覆蓋之前指定的Webhook目標頻道,在部分情況中,這個方法可以被用來複寫之前的配置。安全研究人員在GitHub中的公開代碼中,找到了130,989份存在Webhook URL的代碼,大部分這些代碼都包含了唯一的Webhook值,使用這些公開的URL,就能利用Slack應用程序進行釣魚攻擊。
攻擊者可以建置一個Slack應用程序,並讓這個應用程序可公開存取,接著對洩漏的WebhookURL發送惡意信息,攻擊者就能夠追蹤安裝惡意應用程序的工作空間,並利用該應用程序從工作空間竊取數據,而攻擊者可以存取數據的範圍,取決於應用程序當初請求的存取權限。
AT&T Alien Labs研究人員提到,Slack管理者可以採取一些措施,降低可能出現的攻擊風險,但是部分措施只有Slack才能進行。IncomingWebhooks應僅能給予最低的權限,像是預設僅能在定義的頻道中運作,多頻道Webhooks以及複寫功能,應該作為獨立的應用程序或是選擇性啟用,研究人員表示,現在複寫功能藏在配置說明面板底下,使用者需要特別進行操作才會顯示,因此許多用戶並不瞭解這項功能。另外,也應該確定除非Webhooks具有明確定義,否則Webhooks都不應該能被髮布到公告或是管理員頻道。
研究人員也提到,Webhooks配置頁面沒有任何文字告訴使用者Webhook URL的重要性,加上使用者對複寫功能不熟悉,就會讓使用者暴露在可能遭受釣魚攻擊的風險中。而對此Slack也響應,Webhooks是憑證工具,能夠用來存取工作空間的發佈功能,因此對於已經洩漏的WebhookURL,管理員應該主動讓這些URL失效後,產生新的URL。
Slack也主動到GitHub上搜索了所有已經對外洩漏的Webhooks,並使這些URL失效。Slack提到,只要能夠妥善保管Webhook URL,那Webhooks就會是安全的,因為URL本身無法被猜測,管理者應該使用最佳實踐來儲存這些憑證。
編輯:AI智慧
