Individuata grave vulnerabilità in Skype che richiede una larga revisione del codice

Individuata grave vulnerabilità in Skype che richiede una larga revisione del codice

Il ricercatore sulla sicurezza Stefan Kanthak ha scoperto  una grave vulnerabilità nel noto software di messaggistica istantanea di Microsoft, ovvero Skype. Vediamo quale versione del software è interessata e in cosa consiste la vulnerabilità.

Vulnerabilità nel meccanismo di aggiornamento automatico

Il problema individuato risiede nel meccanismo di aggiornamento automatico che Skype lancia ogni tanto per verificare la presenza di versioni aggiornate. Questo meccanismo lancia un eseguibile denominato “updater.exe” con privilegi System ed accesso completo come amministratore, dopo di che estrae un altro file chiamato “sky—–.tmp”  nella cartella Temp di Windows e lo esegue in modalità silenziosa. 

E’ proprio questo programma che è vulnerabile ad attacchi di tipo DLL hijacking in quanto carica una DLL da un percorso NON di sistema ma dal percorso ove si trova l’eseguibile quindi in Temp. 

Un attaccante potrebbe sfruttare la vulnerabilità inserendo una DLL malevola nel percorso TEMP con possibilità di eseguire codice arbitrario con privilegi amministrativi nel sistema, compromettendolo totalmente. 

Leggi anche  QNAP Alert: Exploit zero-day e eCh0raix ransomware

La versione vulnerabile è Skype per Desktop, la versione UWP non ne risulta affetta. 

Aggiornamenti? Non per ora

Microsoft è stata informata del problema ancora a settembre dello scorso anno, ma ha dichiarato di NON voler pubblicar alcun aggiornamento di sicurezza e che il problema verrà risolto in una prossima versione di Skype. 

Ha inoltre dichiarato a Zdnet:

But Microsoft, which owns the voice- and video-calling service, said it won’t immediately fix the flaw, because the bug would require too much work.

In aggiunta sembra che lo stesso meccanismo, a detta del ricercatore, sia applicabile anche in contesto Mac e Linux. 

L’unica soluzione, per ora, è disabilitare l’aggiornamento automatico di Skype.

CertNazionale

Approfondimenti: Defense in depth — the Microsoft way (part 51): Skype’s home-grown updater allows escalation of privilege to SYSTEM

Alvise C.

Alvise C.

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento