信息安全公司AT&T Alien Labs揭露了一种使用协作通信软件Slack的Webhooks,来对使用者进行钓鱼攻击的手法,而Slack也主动搜索泄漏的URL使其无效,并呼吁管理者妥善保管Webhook URL。
Incoming Webhooks是一种将应用程序的信息传送进Slack的方法,其提供一个唯一的URL,应用程序可以利用该URL以JSON作为载体,传送文字信息以及选项,但安全人员却发现,攻击者利用这个可让开发者从外部传送数据到Slack的简单方式,对使用者进行钓鱼攻击。
问题发生在频道复写功能,这个功能让JSON载体只要增加频道键值,就能快速的覆盖之前指定的Webhook目标频道,在部分情况中,这个方法可以被用来复写之前的配置。安全研究人员在GitHub中的公开代码中,找到了130,989份存在Webhook URL的代码,大部分这些代码都包含了唯一的Webhook值,使用这些公开的URL,就能利用Slack应用程序进行钓鱼攻击。
攻击者可以建置一个Slack应用程序,并让这个应用程序可公开存取,接着对泄漏的WebhookURL发送恶意信息,攻击者就能够追踪安装恶意应用程序的工作空间,并利用该应用程序从工作空间窃取数据,而攻击者可以存取数据的范围,取决于应用程序当初请求的存取权限。
AT&T Alien Labs研究人员提到,Slack管理者可以采取一些措施,降低可能出现的攻击风险,但是部分措施只有Slack才能进行。IncomingWebhooks应仅能给予最低的权限,像是预设仅能在定义的频道中运作,多频道Webhooks以及复写功能,应该作为独立的应用程序或是选择性启用,研究人员表示,现在复写功能藏在配置说明面板底下,使用者需要特别进行操作才会显示,因此许多用户并不了解这项功能。另外,也应该确定除非Webhooks具有明确定义,否则Webhooks都不应该能被发布到公告或是管理员频道。
研究人员也提到,Webhooks配置页面没有任何文字告诉使用者Webhook URL的重要性,加上使用者对复写功能不熟悉,就会让使用者暴露在可能遭受钓鱼攻击的风险中。而对此Slack也响应,Webhooks是凭证工具,能够用来存取工作空间的发布功能,因此对于已经泄漏的WebhookURL,管理员应该主动让这些URL失效后,产生新的URL。
Slack也主动到GitHub上搜索了所有已经对外泄漏的Webhooks,并使这些URL失效。Slack提到,只要能够妥善保管Webhook URL,那Webhooks就会是安全的,因为URL本身无法被猜测,管理者应该使用最佳实践来储存这些凭证。
编辑:AI智慧
