O Slack, rede social bastante conhecida no mundo corporativo, apresentou uma vulnerabilidade em sua versão desktop para Windows. O bug, permite que hackers alterem o local em que arquivos são baixados, redirecionando-os para um servidor SMB (Server Message Block), separado, onde os arquivos podem ser manipulados e alterados.  

Ao alterar o conteúdo do documento, os cibercriminosos, podem incluir malwares e roubar informações corporativas presentes tanto nos arquivos quanto no PC infectado. A falha foi denunciada na plataforma HackerOne, pelo pesquisador David Wells, da Tenable Research, alertando para a brecha encontrada na versão 3.3.7 do Slack para Windows.

Segundo Wells, a brecha permite que um invasor porte um hiperlink especialmente criado em um canal do Slack que altere o local de download do documento quando clicado. Assim, o arquivo passaria a ser aberto através do compartilhamento SMB (Server Message Block) do invasor, pelo aplicativo. 

“O problema existe no gerenciador do protocolo “slack: //”, que tem a capacidade de alterar configurações sensíveis no Slack Desktop Application. Esse caminho de download pode ser um compartilhamento SMB de propriedade do invasor, o que faria com que todos os documentos futuros baixados no Slack fossem enviados instantaneamente para o servidor do invasor. Depois de configurar um compartilhamento SMB remoto, poderíamos enviar aos usuários ou canais um link que redirecionaria todos os downloads para ele após clicarem no link”.

O aplicativo é utilizada por mais de 85 mil empresas e possui mais de 10 milhões de usuários ativos, e o indicado é que sejam atualizados para a versão mais recente (v3.4.0), onde o bug já foi corrigido. Para verificar a sua atualização do aplicativo, é só seguir os passos: 

slack

  1. Clicar no MENU (lado esquerdo);
  2. Clicar em AJUDA;
  3. Clicar em VERIFICAR SE HÁ ATUALIZAÇÕES.

Caso haja atualização a ser feita, basta seguir as instruções e atualizar o mais rápido possível. 

Abraços!

About Édpo César

Integrante do time da Diferencial TI desde 2015, é focado na resolução e satisfação dos atendimentos aos clientes. Amante da sétima arte, nerd e fã dos contos orientas, é usuário assumido da Xiaomi.