Una vulnerabilidad en Slack permite el espionaje y la manipulación de archivos
- Vulnerabilidades
La vulnerabilidad permitiría a un atacante enviar un hipervínculo creado a través de un mensaje Slack que, al hacer clic, cambia la ruta de la ubicación de descarga del documento a un recurso de archivos compartido propiedad del atacante. La versión 3.4.0 de Slack corrige el fallo.
Slack se ha convertido en una herramienta crítica para muchas organizaciones que buscan mantener a sus empleados conectados. Pues bien, investigadores de Tenable han descubierto una vulnerabilidad en la aplicación Slack Desktop para Windows que permitiría a un atacante alterar dónde se almacenan los archivos de la víctima cuando se descargan los documentos dentro de Slack.
La vulnerabilidad, que se encuentra en la versión 3.3.7, permitiría a un atacante enviar un hipervínculo creado a través de un mensaje Slack que, una vez que se hace clic, cambia la ruta de ubicación de descarga del documento a un recurso compartido de archivos propiedad del atacante. Al explotar el fallo, un atacante no solo puede robar futuros documentos descargados dentro de Slack, sino que también puede manipularlos, así como inyectar código malicioso que pondría en peligro la máquina de la víctima una vez abiertos.
"La economía digital y la fuerza de trabajo distribuida global han traído nuevas tecnologías al mercado con el objetivo final de ofrecer una conectividad perfecta", apunta Renaud Deraison, cofundador y director de tecnología de Tenable. "Pero es fundamental que las organizaciones se den cuenta de que esta tecnología emergente es potencialmente vulnerable y parte de la superficie de ataque en expansión".
Slack ha lanzado la versión 3.4.0 para abordar esta vulnerabilidad. Se recomienda a los usuarios que comprueben que su Slack para Windows se actualice a esta última versión.
