Slack Webhooks vatbaar voor phishingmisbruik

Veiligheidsonderzoekers van AT&T Alien Labs hebben een kwetsbaarheid in Slack ontdekt die gebruikt kan worden voor phishing. Het gaat om de Slack incoming Webhooks. Met Webhooks kunnen gebruikers data delen via Slack. Hoewel Slack beweert dat Webhooks veilig werkt, blijkt dat niet helemaal het geval te zijn. 

Met Webhooks kunnen gebruikers berichten vanuit andere apps delen in Slack. Incoming Webhooks biedt een unieke URL waarin een app een JSON payload kan sturen met een berichttekst. Het probleem met Webhooks is de channel override-functie. Hierdoor kunnen hackers een eerder ingesteld webhook doelkanaal omzeilen door een kanaal toe te voegen aan de JSON payload. 

Volgens Slack zijn webhook URL’s volledig geheim en veilig. Toch vonden de onderzoekers van AT&T Alien Labs maar liefst 130,989 openbare resultaten met daarin Slack webhook URL’s. De meerderheid bevatte de unieke webhook-waarde.

Kwaadwillenden kunnen de openbare Slack webhook URL’s gebruiken voor phishing-doeleinden. Het proces begint bij het achterhalen van gelekte webhooks. Vervolgens kunnen aanvallers een app bouwen die verbonden kan worden aan Slack en deze app openbaar beschikbaar maken. Phishers kunnen dan berichten sturen naar de ontdekte hooks en bijhouden wie de app installeert. Met de app kunnen kwaadwillenden data verzamelen van slachtoffers die de app hebben geïnstalleerd. 

Beperkte mogelijkheden voor phishing

Er zitten wel enkele beperkingen aan deze vorm van phishing. In hoeverre de aanvallers toegang krijgen tot de data van een slachtoffer is afhankelijk van de toegang die iemand geeft aan een applicatie. 

Op dit moment zijn er nog geen gevallen bekend waarin aanvallers Slack webhooks hebben ingezet voor phishing. Mocht er wel een aanval zijn, dan kunnen Slack-beheerders de impact hiervan inperken. Allereerst kan dat door de veiligheid van applicaties te onderzoeken en applicaties op de ‘witte lijst’ te zetten. Beheerders kunnen de applicaties die kunnen communiceren met Slack controleren en toestaan of weigeren voordat een gebruiker ze installeert. 

Een andere mogelijkheid die Slack-beheerders hebben om de kans op phishing te verkleinen is door verdachte OAuth-applicaties op te sporen. Beheerders kunnen Slack Audit Log data gebruiken om verdachte acties op te sporen.

Als antwoord op de ontdekking van de phishing-mogelijkheden binnen Slack is Slack zelf aan de slag gegaan om openbare webhook URL’s actief op te sporen. Vervolgens maakt Slack de webhook URL’s ongeldig, zodat phishers er geen misbruik van kunnen maken.