Investigadores de AT&T descubren una vulnerabilidad de Slack Webhooks

Los investigadores de AT&T Alien Labs, la rama de inteligencia de amenazas de AT&T Cybersecurity, han descubierto una vulnerabilidad en la popular plataforma de colaboración laboral Slack.

Slack es una popular plataforma de mensajería basada en la nube que se utiliza comúnmente en la comunicación en el lugar de trabajo, con Slack Incoming Webhooks que permite a los usuarios publicar mensajes desde aplicaciones a Slack. Al especificar una URL única, el cuerpo del mensaje y un canal de destino, los usuarios pueden enviar un mensaje a cualquier webhook utilizando la URL de cualquier espacio de trabajo.

En este caso, los investigadores de AT&T Alien Labs se dieron cuenta de la existencia de una funcionalidad en la plataforma Slack que podía utilizarse para lanzar novedosas campañas de phishing mientras se creaban webhooks para una herramienta interna.

Los webhooks de Slack se consideraban anteriormente una integración de bajo riesgo para la seguridad, pero según los investigadores de AT&T Alien Labs, los atacantes podrían simplemente encontrar un webhook de Slack filtrado en línea y enviar una aplicación maliciosa a un canal de Slack donde los usuarios la instalarían. Este fallo podría llevar a actores maliciosos a secuestrar los webhooks entrantes en ataques de phishing.

Ashley Graves, investigadora de seguridad en la nube de AT&T Alien Labs, una parte de AT&T Cybersecurity, escribió un blog documentando el hallazgo y dijo «En primer lugar, una anulación de canal le permite anular el canal de destino del webhook previamente especificado añadiendo la clave «channel» a su carga útil JSON. Si obtienes acceso a un webhook para un canal, puedes utilizarlo en otros.

«La documentación de Slack sugiere que los canales de destino permitidos se basan en el creador original del webhook… así que si puedes encontrar un webhook creado por un administrador – ¡felicidades, puedes publicar en canales de administradores!»

Según Javvad Malik, defensor de la seguridad en KnowBe4: «Se trata de un interesante vector de ataque contra Slack, que es una de las pocas herramientas de mensajería populares utilizadas en las organizaciones. Lo preocupante de esto es que la gente tiende a bajar la guardia cuando recibe enlaces en las plataformas de mensajería y, en particular, en los dispositivos móviles.

Todo esto combinado puede conducir a un gran aumento de la probabilidad de que un ataque de spearphishing tenga éxito. Por ello, los empleados deben desconfiar de los ataques de phishing no sólo desde el correo electrónico, sino desde todas las plataformas de medios sociales. Además, las organizaciones deben contar con controles de detección y respuesta a las amenazas para que, en caso de que un empleado sea víctima de un ataque de phishing, se pueda identificar y remediar rápidamente antes de que se convierta en un incidente generalizado».

Enlace al blog original en el que se explican las conclusiones de AT&T: https://cybersecurity.att.com/blogs/labs-research/slack-phishing-attacks-using-webhooks