Connectez-vous avec nous

Ordinateurs et informatique

Utilisateurs lâches ciblés pour les attaques de phishing – voici comment rester protégé

Les utilisateurs de Slack ont ​​été avertis de prendre des précautions supplémentaires lorsqu'ils utilisent le service de collaboration en ligne après que les chercheurs ont découvert des risques de sécurité inquiétants.

Selon un rapport d'AT & T AlienLabs, les «  webhooks '' entrants, qui sont utilisés pour se connecter à partir d'applications tierces pour publier des messages sur Slack, peuvent être détournés pour mener des attaques de phishing.

Un webhook compromis permet non seulement aux utilisateurs non autorisés d'envoyer des messages à tous les canaux Slack, mais il peut également modifier les autorisations de publication des canaux.

Étant donné que les webhooks ne peuvent pas transporter les données eux-mêmes, les pirates pourraient facilement exploiter ces vulnérabilités pour inciter les utilisateurs de Slack à installer des applications malveillantes, permettant à une voie d'entrée potentielle de voler des données de leur espace de travail.

Vulnérabilité des Webhooks

Les chercheurs ont montré comment une application simple créée dans le but de hameçonner des données peut être partagée via des messages de spam sur plusieurs canaux Slack. Une fois qu'un utilisateur a installé l'application malveillante, il peut ensuite facilement exfiltrer des données et les renvoyer aux pirates.

De plus, une fois qu'une application malveillante est installée sur un système, elle peut être utilisée pour envoyer des messages au nom de l'utilisateur, faisant croire à d'autres contacts que l'application est fiable.

Étant donné que Slack permet aux utilisateurs d'installer des applications tierces à utiliser conjointement avec la plate-forme par défaut, les chercheurs recommandent aux propriétaires d'espace de travail de restreindre les utilisateurs à l'installation d'applications tierces à l'aide des options de liste blanche intégrées de Slack afin d'atténuer la menace.

L'approbation obligatoire par les administrateurs avant de télécharger et d'installer des applications qui n'ont pas suivi le processus d'examen de sécurité de Slack est également recommandée pour limiter les menaces potentielles.

La surveillance des données à l'aide de plates-formes d'analyse de sécurité peut également déclencher une alarme si:

  • Plusieurs utilisateurs installent la même application en peu de temps
  • Installation d'applications à l'aide de portées à haut risque
  • Détection de app_scopes_expanded lorsqu'une application précédemment installée nécessite de nouvelles étendues
  • Détection d'appels inhabituels pouvant être utilisés pour l'exfiltration de données tels que manual_export_started, une action qui exporte des données d'espace de travail

Les experts suggèrent également que Slack devrait par défaut limiter les fonctionnalités des applications qui ne sont pas examinées et que les webhook entrants devraient être autorisés à fonctionner dans le canal défini.

En réponse aux conclusions, Slack a déclaré: «Nous supprimons proactivement GitHub pour les webhooks publiquement exposés et les invalidons. Les webhooks sont sûrs tant qu'ils restent secrets, car l'URL du webhook elle-même est impossible à deviner. Nous permettons aux équipes d'exiger l'approbation des administrateurs sur toutes les applications, et leur recommandons d'établir et de suivre des procédures de vérification de sécurité de base avant d'autoriser l'ajout d'applications dans un espace de travail.

Il a conseillé aux utilisateurs «d'établir et de suivre les procédures de base de vérification de la sécurité avant d'autoriser l'ajout d'applications dans un espace de travail».

Via: AT&T AlienLabs

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES