May 17, 2019
La vulnérabilité Slack a été résolue, mais des pirates pourraient l'avoir exploitée à des fins d'espionnage industriel ou de manipulation de fichiers
Tenable®, Inc., la société de Cyber Exposure, annonce que son équipe de recherche a découvert une vulnérabilité dans l'application Slack Desktop pour Windows qui permet à un attaquant de modifier l'emplacement de stockage des fichiers d'une victime lorsque les documents sont téléchargés dans Slack.
Slack est devenu un outil essentiel pour de nombreuses entreprises qui cherchent à faciliter les échanges entre leurs employés. La vulnérabilité, qui se trouve dans la version 3.3.7, permet à un attaquant d'envoyer un hyperlien par l'intermédiaire d'un message Slack qui, si on clique dessus, change le chemin de téléchargement du document vers un partage de fichiers appartenant à l'attaquant. En exploitant la faille, un attaquant peut non seulement voler les futurs documents téléchargés dans Slack, mais il peut aussi les manipuler, par exemple en injectant du code malveillant qui pourrait compromettre le poste de la victime une fois exécuté.
« L'économie numérique et la répartition des travailleurs aux quatre coins du monde a mené à la mise en place de nouvelles technologies dans le but d'assurer une connectivité transparente », commente Renaud Deraison, cofondateur et directeur de la technologie chez Tenable. « Mais il est essentiel que les entreprises réalisent que cette technologie émergente est potentiellement vulnérable et fait partie de leur surface d'attaque en expansion. Tenable Research continue de travailler avec des fournisseurs tels que Slack pour divulguer nos découvertes afin d'assurer la sécurité des utilisateurs et des entreprises. »
Slack a publié la version 3.4.0 qui corrige cette vulnérabilité. Les utilisateurs sont priés de vérifier que leur version Slack sur Windows est bien à jour.
Pour plus d'informations sur la façon dont cette vulnérabilité a été découverte, veuillez lire ce billet de blog de Tenable Research sur Medium.
À propos de Tenable
Tenable®, Inc. est la société de Cyber Exposure. Plus de 27 000 entreprises dans le monde comptent sur Tenable pour comprendre et réduire leur cyber-risque. Après avoir créé Nessus®, Tenable a enrichi son expertise en matière de vulnérabilités pour proposer la première plateforme au monde capable de voir et de sécuriser tous les assets digitaux, quelle que soit la plateforme informatique. La clientèle de Tenable comprend plus de 50 % des sociétés du Fortune 500, plus de 25 % des sociétés du Global 2000, ainsi que de grandes administrations publiques. Pour en savoir plus, rendez-vous sur fr.tenable.com.
Contact :
Cayla Baker
[e-mail protégé]