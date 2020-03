Der webbasierte Messaging-Dienst Slack war durch eine als "kritisch" eingestufte Sicherheitslücke verwundbar. Angreifer hätten sich mit vergleichsweise wenig Aufwand in Verbindungen einklinken und so Accounts übernehmen können. Nun ist die Schwachstelle geschlossen.

Ansatzpunkt für eine HTTP-Request-Smuggling-Attacke war die Domain slackb.com. Bei dieser Angriffsart steigen Angreifer in die Kommunikation zwischen Front-end und Back-end ein und schmuggeln eigene Anfragen dazwischen, die verarbeitet werden. Wie das im Detail funktioniert, führt der Sicherheitsforscher Evan Custodio in einem Beitrag aus. Eine CVE-Nummer zur Kategorisierung der Schwachstelle wurde offensichtlich noch nicht vergeben.

Spionagegefahr

Klappt so eine Attacke, erhält ein Angreifer gültige Session Cookies. Damit ausgerüstet könnte er in Chats einsteigen und Informationen abziehen. Das ist vor allem problematisch, da viele Firmen vertrauliche Projekte via Slack realisieren und darüber sensible Informationen austauschen.

Dem Sicherheitsforscher zufolge waren solche Übergriffe mit vergleichsweise wenig Aufwand zu realisieren. Ihm zufolge hätten Angreifer beispielsweise Bots einsetzen können, die Accounts automatisch übernehmen und Daten mitschneiden.

Bug-Bounty-Prämie

Custodio meldete die Schwachstelle im November 2019 der Bug-Bounty-Plattform Hackerone. Slack soll anschließend zügig reagiert und die Lücke geschlossen haben. Ob Angreifer Slack auf diese Art und Weise bereits attackiert haben, ist derzeit nicht bekannt. Die Infos zur Schwachstelle wurden erst jetzt veröffentlicht.

Das Melden des Schlupfloches für eine mögliche massenhafte Account-Übernahme hat Hackerone mit einer Prämie von 6500 US-Dollar belohnt. (des)