Di recente il ricercatore Stefan Kanthak ha scoperto una grave falla di sicurezza nel sistema di aggiornamento di Skype per Windows che potrebbe permettere ad un malintenzionato di ottenere accesso al computer degli utenti con i massimi privilegi, (ovvero di tipo "System", e quindi anche più elevati di quelli "Administrator"), e da lì condurre virtualmente ogni tipo di attacco: l'installazione di ransomware, la cancellazione di file, l'estrazione dati sensibili e molto altro ancora. In pratica, secondo quanto spiegato dal ricercatore, si tratta di una vulnerabilità sensibile alla cosiddetta tecnica del DLL hijacking, (tra l'altro funzionante anche su macOS e Linux), che, come già spiegato, trasformerebbe di fatto un malintenzionato in una sorta di "super amministratore di sistema" con pieni poteri e la facoltà di prendere il totale controllo dell'intero sistema operativo. In poche parole, tramite questa tecnica chi esegue l'attacco può scaricare una DLL dannosa in una cartella temporanea accessibile all'utente che non richiede privilegi d'accesso elevati, e rinominarla con lo stesso nome di una DLL legittima. A quanto punto a causa del suddetto bug l'installer di Skype, durante gli aggiornamenti periodici, può trovare prima la DLL dannosa, (invece di quella legittima), ed eseguire il codice che questa contiene. Inoltre anche se in teoria questo tipo di attacco dovrebbe essere eseguito in locale, esistono vari modi per fare in modo che la DLL "clandestina" finisca nella cartella temporanea anche attraverso attacchi in remoto e quindi l'ipotesi che compaiano malware che sfruttino, (anche indirettamente), la falla di sicurezza in questione è piuttosto scontata. Ad ogni modo i responsabili di Microsoft sono stati messi a conoscenza di questo problema dallo stesso Stefan Kanthak lo scorso Settembre, ma hanno fatto sapere che per correggere il bug sarebbe necessario una massiccia riscrittura del codice dell'updater e che quindi il fix non potrà essere disponibile come semplice aggiornamento di sicurezza. Non a caso, sempre stando a quanto dichiarato da Stefan Kanthak, il team Skype avrebbe preferito concentrare tutte le risorse disponibili sulla realizzazione di un client completamente nuovo ed immune alla vulnerabilità, ma che tuttavia non si sa quando potrebbe essere pronto: di conseguenza per il momento il bug rimane lì dov'è.
*(Aggiornamento del 16/02/2018): A quanto pare il bug scoperto dal ricercatore di sicurezza Stefan Kanthak è stato già risolto con il rilascio di Skype 8, avvenuto lo scorso Ottobre: in questi giorni, infatti, un ingegnere di Microsoft ha chiarito che il bug è presente soltanto all'interno dell'installer di Skype 7.40, (e versioni precedenti), per desktop Windows. Insomma, così facendo l'azienda ha rettificato la dichiarazione precedente, con la quale aveva affermato che la vulnerabilità in questione era risolvibile solo tramite le riscrittura del codice ed il rilascio di una futura versione del client di messaggistica. Inoltre, considerando che le vecchie release sono state rimosse dal sito ufficiale di Skype, gli utenti non dovrebbero correre rischi; anche perché dovrebbero aver già installato la nuova versione del client da un po' di tempo: in caso contrario sarebbe consigliabile scaricare ed installare la versione più recente il prima possibile.
Commenti
Posta un commento