0 commenti 512 Guarda 2 minutes Leggi

Il ricercatore sulla sicurezza Stefan Kanthak ha scoperto  una grave vulnerabilità nel noto software di messaggistica istantanea di Microsoft, ovvero Skype. Vediamo quale versione del software è interessata e in cosa consiste la vulnerabilità.

Vulnerabilità nel meccanismo di aggiornamento automatico

Il problema individuato risiede nel meccanismo di aggiornamento automatico che Skype lancia ogni tanto per verificare la presenza di versioni aggiornate. Questo meccanismo lancia un eseguibile denominato “updater.exe” con privilegi System ed accesso completo come amministratore, dopo di che estrae un altro file chiamato “sky—–.tmp”  nella cartella Temp di Windows e lo esegue in modalità silenziosa. 

E’ proprio questo programma che è vulnerabile ad attacchi di tipo DLL hijacking in quanto carica una DLL da un percorso NON di sistema ma dal percorso ove si trova l’eseguibile quindi in Temp. 

Un attaccante potrebbe sfruttare la vulnerabilità inserendo una DLL malevola nel percorso TEMP con possibilità di eseguire codice arbitrario con privilegi amministrativi nel sistema, compromettendolo totalmente. 

La versione vulnerabile è Skype per Desktop, la versione UWP non ne risulta affetta. 

Aggiornamenti? Non per ora

Microsoft è stata informata del problema ancora a settembre dello scorso anno, ma ha dichiarato di NON voler pubblicar alcun aggiornamento di sicurezza e che il problema verrà risolto in una prossima versione di Skype. 

Ha inoltre dichiarato a Zdnet:

But Microsoft, which owns the voice- and video-calling service, said it won’t immediately fix the flaw, because the bug would require too much work.

In aggiunta sembra che lo stesso meccanismo, a detta del ricercatore, sia applicabile anche in contesto Mac e Linux. 

L’unica soluzione, per ora, è disabilitare l’aggiornamento automatico di Skype.

CertNazionale

Approfondimenti: Defense in depth — the Microsoft way (part 51): Skype’s home-grown updater allows escalation of privilege to SYSTEM

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.