Il ricercatore sulla sicurezza Stefan Kanthak ha scoperto una grave vulnerabilità nel noto software di messaggistica istantanea di Microsoft, ovvero Skype. Vediamo quale versione del software è interessata e in cosa consiste la vulnerabilità.
Vulnerabilità nel meccanismo di aggiornamento automatico
Il problema individuato risiede nel meccanismo di aggiornamento automatico che Skype lancia ogni tanto per verificare la presenza di versioni aggiornate. Questo meccanismo lancia un eseguibile denominato “updater.exe” con privilegi System ed accesso completo come amministratore, dopo di che estrae un altro file chiamato “sky—–.tmp” nella cartella Temp di Windows e lo esegue in modalità silenziosa.
E’ proprio questo programma che è vulnerabile ad attacchi di tipo DLL hijacking in quanto carica una DLL da un percorso NON di sistema ma dal percorso ove si trova l’eseguibile quindi in Temp.
Un attaccante potrebbe sfruttare la vulnerabilità inserendo una DLL malevola nel percorso TEMP con possibilità di eseguire codice arbitrario con privilegi amministrativi nel sistema, compromettendolo totalmente.
La versione vulnerabile è Skype per Desktop, la versione UWP non ne risulta affetta.
Aggiornamenti? Non per ora
Microsoft è stata informata del problema ancora a settembre dello scorso anno, ma ha dichiarato di NON voler pubblicar alcun aggiornamento di sicurezza e che il problema verrà risolto in una prossima versione di Skype.
Ha inoltre dichiarato a Zdnet:
But Microsoft, which owns the voice- and video-calling service, said it won’t immediately fix the flaw, because the bug would require too much work.
In aggiunta sembra che lo stesso meccanismo, a detta del ricercatore, sia applicabile anche in contesto Mac e Linux.
L’unica soluzione, per ora, è disabilitare l’aggiornamento automatico di Skype.
Approfondimenti: Defense in depth — the Microsoft way (part 51): Skype’s home-grown updater allows escalation of privilege to SYSTEM