Microsoft não corrigira uma Vulnerabilidades grave no Skype

skype-hacking
Uma vulnerabilidade séria foi descoberta no serviço de mensagens e atendimento de voz gratuito mais popular da Microsoft, o Skype que potencialmente poderia permitir aos atacantes obter o controle total da máquina host, concedendo privilégios de nível de sistema a um usuário local e não privilegiado.

A pior parte é que esta vulnerabilidade não será corrigida pela Microsoft em breve.

Não é porque a falha é incompatível, mas porque corrigir a vulnerabilidade requer uma reescrita de software significativa, o que indica que a empresa precisará emitir uma versão totalmente nova do Skype em vez de apenas um patch.

A vulnerabilidade foi descoberta e relatado à Microsoft pelo pesquisador de segurança Stefan Kanthak e reside no instalador de atualização do Skype, que é suscetível ao seqüestro de bibliotecas de links dinâmicos (DLL).

De acordo com o pesquisador, um potencial atacante poderia explorar a "funcionalidade do carregador da DLL do Windows, onde o processo que carrega a DLL procura a DLL para ser carregada primeiro no mesmo diretório no qual o binário do processo reside e depois em outros diretórios".

A exploração deste pedido de busca preferencial permitiria ao invasor seqüestrar o processo de atualização, baixando e colocando uma versão maliciosa de um arquivo DLL em uma pasta temporária de um PC com Windows e renomeando-o para combinar uma DLL legítima que pode ser modificada por um não privilegiado usuário sem ter privilégios de conta especiais.

Quando o instalador de atualização do Skype tenta encontrar o arquivo DLL relevante, ele encontrará a DLL mal-intencionada primeiro e, portanto, irá instalar o código mal-intencionado.

Embora Kanthak tenha demonstrado o ataque usando a versão do Windows do Skype, ele acredita que o mesmo método de seqüestro de DLL também pode funcionar contra outros sistemas operacionais, incluindo versões do MacOS e do Linux para o Skype.

Kanthak informou a Microsoft da vulnerabilidade do Skype em setembro, mas a empresa disse que o patch exigiria que o instalador da atualização do Skype passasse por "uma grande revisão de código", disseKanthak à ZDNet.

Então, ao invés de liberar uma atualização de segurança, a Microsoft decidiu criar uma versão completamente nova do cliente Skype que abordaria a vulnerabilidade.

Note-se que esta vulnerabilidade só afeta o Skype para o aplicativo de área de trabalho, que usa seu instalador de atualização que é vulnerável à técnica de seqüestro de DLL. A versão do aplicativo Universal Windows Platform (UWP) disponível nas PCs da Microsoft Store para Windows 10 não é afetada.
A vulnerabilidade foi classificada como "média" em gravidade, mas Kanthak disse, "o ataque poderia ser facilmente armado". Ele deu dois exemplos, que ainda não foram lançados.
Até que a empresa emita uma nova versão do cliente Skype, é aconselhável que os usuários tenham cuidado e evite clicar em anexos fornecidos em um e-mail. Além disso, certifique-se de executar o software anti-vírus apropriado e atualizado que oferece alguma defesa contra esses ataques.

Esta não é a primeira vez que o Skype está lidando com uma grave falha de segurança. Em junho de 2017, uma falha crítica no Skype foi revelada antes que a Microsoft lançasse uma solução para o problema que permitia que os hackers bloqueassem os sistemas e executassem códigos maliciosos neles.

No mês passado, entre várias aplicações de mensagens, o Skype também estava lidando com uma vulnerabilidade crítica de execução de código remoto no Electron - uma popular estrutura de aplicativos da Web amplamente utilizada em aplicativos de desktop.

Comentários