Sicherheitsforscher entdeckt kritische Lücke in Slack und erhält mickrige Prämie

Ein Sicherheitsforscher hat herausgefunden, dass Angreifer Slack-Nutzer auf vergleichsweise einfachem Weg mit Schadcode hätten attackieren können. Trotz einer "kritischen" Einstufung des Risikos gab es für diese Entdeckungen nur eine verhältnismäßig niedrige Belohnung.

Der Sicherheitsforscher hat die möglichen Angriffsszenarien für Schadcode-Attacken an die Bug-Bounty-Plattform Hackerone gemeldet. Über diese Plattform können Sicherheitsforscher von ihnen entdeckte Sicherheitslücken einreichen. Die Softwarehersteller schließen dann die Lücken und zahlen dem Entdecker eine Prämie. Neben Slack machen dort unter anderem Nintendo, Saturn und WordPress mit.

Beispielsweise Nintendo zahlt für eine Remote-Code-Execution-Lücke maximal 20.000 US-Dollar. Remote Code Execution bedeutet, dass ein entfernter Angreifer ohne Anmeldung eine Software mit Schadcode attackieren kann. In solchen Fällen gelten Computer in der Regel als vollständig kompromittiert.

Schadcode-Lücke nicht viel wert?

Dem Report von Hackerone zufolge, wäre das auch durch das erfolgreiche Ausnutzen der Slack-Lücken vorstellbar. Die CVE-Nummern der Lücken sind bislang nicht bekannt, Hackerone hat die Gefahr als "kritisch" eingestuft. Für erfolgreiche Attacken seien nur wenige Schritte erforderlich.

Nichtsdestotrotz hat Slack dem Sicherheitsforscher lediglich 1750 US-Dollar gezahlt. Wenn man bedenkt, dass Angreifer durch das alleinige Versenden von Nachrichten mit präparierten Dateien Schadcode auf Linux-, macOS- und Windows-Computern PCs von Opfern ausführen könnten, mutet die Prämie mickrig an.

Der Sicherheitsforscher gibt an, die Clients 4.2 und 4.3.2 erfolgreich attackiert zu haben. Derzeit ist die Slack-Ausgabe 4.8.0 aktuell. So wie es aussieht, haben die Entwickler die Lücken bereits Anfang 2020 geschlossen. Die Infos zu den Schwachstellen und der ausgezahlten Prämie wurden erst jetzt bekannt. (des)