Vulnerabilidade crítica do Skype será corrigida apenas com nova versão do aplicativo

Vulnerabilidade crítica no Skype que permite atacante tomar controle remoto da máquina.

Uma vulnerabilidade de alto risco foi descoberta no Skype,  serviço de mensagens e atendimento de voz gratuito da Microsoft. Potencialmente, a vulnerabilidade permite aos atacantes obter o controle total da máquina host, concedendo privilégios de nível de sistema a um usuário local e não privilegiado.

Devido a complexidade para correção da vulnerabilidade, que exigirá que a emissão de uma nova versão do Skype,  a Microsoft não tem previsão de quando será disponibilizado o patch de correção.

A vulnerabilidade que reside no instalador de atualização do Skype,  foi descoberta e reportada à Microsoft pelo pesquisador de segurança Stefan Kanthak, é suscetível ao sequestro de bibliotecas de links dinâmicos (DLL).

De acordo com o pesquisador, um potencial atacante poderia explorar a “funcionalidade do carregador da DLL do Windows, onde o processo que carrega a DLL procura a DLL para ser carregada primeiro no mesmo diretório no qual o binário do processo reside e depois em outros diretórios“. A exploração deste pedido de busca preferencial permitiria ao invasor sequestrar o processo de atualização, baixando e colocando uma versão maliciosa de um arquivo DLL em uma pasta temporária de um PC com Windows e renomeando-o para se passar pela DLL legítima, o  que pode ser feito por qualquer usuário não privilegiado.

Desta forma, quando o instalador de atualização do Skype tenta encontrar o arquivo DLL, ele encontrará a DLL mal-intencionada primeiro e, portanto, irá instalar o código mal-intencionado.

Embora Kanthak tenha demonstrado o ataque usando a versão do Windows do Skype, ele acredita que o mesmo método também pode funcionar contra outros sistemas operacionais, incluindo versões do MacOS e do Linux para o Skype.

Kanthak informou a Microsoft da vulnerabilidade do Skype em setembro, mas a empresa disse que o patch exigiria que o instalador da atualização do Skype passasse por “uma grande revisão de código”, disse Kanthak à ZDNet. Então, ao invés de liberar uma atualização de segurança, a Microsoft decidiu criar uma versão completamente nova do cliente Skype que resolveria a vulnerabilidade.

Note-se que esta vulnerabilidade só afeta o Skype para o aplicativo de área de trabalho, que usa seu instalador de atualização que é vulnerável à técnica de seqüestro de DLL. A versão do aplicativo Universal Windows Platform (UWP) disponível nas PCs da Microsoft Store para Windows 10 não é afetada.

A vulnerabilidade foi classificada como “média” em gravidade, mas Kanthak disse, “o ataque poderia ser facilmente explorado“.

Veja também:

 

fonte: The Hacker News 
About mindsecblog 345 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!