Pericoloso bug in Skype, ma per Microsoft il fix richiede troppo lavoro

Skype per Windows

Un ricercatore esperto in sicurezza informatica ha individuato una grave vulnerabilità nel meccanismo di aggiornamento automatico di Skype per Windows ma Microsoft ha riferito di non essere intenzionata a rilasciare un aggiornamento di sicurezza, rimandando la risoluzione del problema ad una futura versione del programma.

[banner]…[/banner]

È stata individuata una pericolosa vulnerabilità in Skype updater, il meccanismo di aggiornamento di Skype (il noto client per l’accesso a servizi di messaggistica istantanea testuale, VoIP e chat video), un bug che che potenzialmente potrebbe consentire ad un cybercriminale di ottenere provilegi a livlelo di sistema.

La vulnerabilità è stata individuata dal ricercatore stefan Kanthak, riguarda Windows e in particolare il meccanismo di aggiornamento automatico proprietario dell’applicazione Skype. Per impostazione predefinita, l’appliczione in questione controlla periodicamente la presenza di aggiornamenti avviando l’eseguibile Updater.exe con i privilegi dell’account System. Questo account di Windows ha gli stessi privilegi dell’utente amministratore e viene sfruttato dal sistema operativo e dai servizi che hanno bisogno di accedere al filesystem con controllo completo. Dal punto di vista tecnico, dopo l’avvio, l’applicazione Updater.exe estrae un programma denominato SKY<abcd>.tmp, nella cartella “%SystemRoot%\Temp\” e lo esegue in modalità silenziosa. Questo programma è vulnerabile ad attacchi di tipo DLL hijacking poiché carica la DLL UXTheme.dll dalla directory in cui si trova l’eseguibile invece che dalla directory di sistema di Windows. Un attacker potrebbe sfruttare questa vulnerabilità per elevare i propri privilegi con una DLL inserita nella directory “%SystemRoot%\Temp\”. La vulnerabilità può consentire l’esecuzione di codice arbitrario con i privilegi dell’account System, con conseguente compromissione totale del sistema.

Skype per Windows

Secondo una dichiarazione di Microsoft rilasciata a ZDNet, l’azienda non ha intenzione di risolvere subito il problema perché richiede “troppo lavoro”. La DLL in questione non esiste su macOS o Linux ma secondo il ricercatore esperto in sicurezza non sono da escludere potenziali problemi nei meccanismi di aggiornamento di Skype per macOS e Linux. Anziché rilasciare un aggiornamento di sicurezza specifico, Microsoft offrirà una versione del tutto nuova con integrata la soluzione al bug. In assenza di una soluzione da parte della Casa di Microsot, la vulnerabilità, in accordo alle politica di vulnerability disclosure del settore, è stata divulgata dopo 90 giorni dalla scoperta. In attesa della futura versione di Skype che dovrebbe risolvere il problema, l’unico suggerimento possibile per gli utenti è di rumuove l’app Skype o, in alternativa, di disattivare gli aggiornamenti automatici dell’applicazione.