Microsoft vil ikke laste opp et sårbart Skype-sikkerhetsproblem når som helst snart

Et alvorlig sikkerhetsproblem har blitt oppdaget i Microsofts eide mest populære gratis nettmeldinger og taleoppringingsservice Skype som potensielt kan tillate angripere å få full kontroll over vertsmaskinen ved å gi systemnivårettigheter til en lokal, ubrukelig bruker.

Den verste delen er at dette sikkerhetsproblemet ikke vil bli oppdatert av Microsoft når som helst snart.
Det er ikke fordi feilen ikke er oppdaterbar, men fordi det er viktig å fastsette sikkerhetsproblemet, krever det en betydelig omskrivning av programvare, noe som indikerer at selskapet må utstede en helt ny versjon av Skype, i stedet for bare en patch.
Sikkerhetsproblemet har blitt oppdaget og rapportert til Microsoft av sikkerhetsforsker Stefan Kanthak, og ligger i Skypes oppdateringsinstallatør, som er utsatt for kapasitet med dynamisk koblingsbibliotek (DLL).
Ifølge forskeren kan en potensiell angriper utnytte funksjonaliteten til Windows DLL-lasteren der prosessen laster DLL-søkene etter DLL-filen, skal lastes først i samme katalog der prosessen binær ligger og i andre kataloger. ”
Utnyttelsen av denne preferensielle søkeordningen vil tillate angriperen å kapre oppdateringsprosessen ved å laste ned og sette en skadelig versjon av en DLL-fil inn i en midlertidig mappe på en Windows-PC og omdøpe den for å matche en legitim DLL som kan modifiseres av en ikke-privilegiert bruker uten å ha noen spesielle konto privilegier.
Når Skypes oppdateringsinstallatør prøver å finne den aktuelle DLL-filen, finner den den ondsinnede DLL først, og dermed vil den skadelige koden installeres.

Selv om Kanthak demonstrerte angrepet ved hjelp av Windows-versjonen av Skype, mener han at samme DLL-kapringsmetode også kan fungere mot andre operativsystemer, inkludert Skype-versjoner for MacOS og Linux.
Kanthak informerte Microsoft om Skype-sårbarheten tilbake i september, men selskapet fortalte at patchen ville kreve at Skype-oppdateringsinstallatøren skulle gå gjennom “en stor koderevisjon”, sa Kanthak ZDNet.
Så i stedet for å utgjøre en sikkerhetsoppdatering bestemte Microsoft seg for å bygge en helt ny versjon av Skype-klienten som ville adressere sikkerhetsproblemet.

Det bør bemerkes at dette sikkerhetsproblemet bare påvirker Skype for skrivebordsprogrammet, som bruker oppdateringsinstallatøren som er sårbar for DLL-kapringsteknikken. Applikasjonsversjonen for Universal Windows Platform (UWP) som er tilgjengelig fra Microsoft Store for Windows 10-PCer, påvirkes ikke.
Sårbarheten har blitt vurdert som “medium” i alvorlighetsgrad, men Kanthak sa, “angrepet kunne enkelt bli våpen.” Han ga to eksempler, som ennå ikke er utgitt.

Inntil selskapet utsteder en helt ny versjon av Skype-klienten, anbefales brukere å utvise forsiktighet og unngå å klikke på vedlegg som leveres i en e-post. Sørg også for at du kjører riktig og oppdatert antivirusprogramvare som gir noe forsvar mot slike angrep.
Dette er ikke første gang Skype har håndtert en alvorlig sikkerhetsfeil. I juni 2017 ble det oppdaget en kritisk feil i Skype før Microsoft ga ut en løsning for problemet som tillot hackere å krasje systemer og utføre skadelig kode i dem.
I forrige måned, blant flere meldingsprogrammer, var Skype også i ferd med å håndtere et kritisk fjerning av ekstern kjøring av kode i Electron-et populært webapplikasjonsramme som er mye brukt i stasjonære applikasjoner.