Исследователь безопасности Штефан Кантак (Stefan Kanthak) обнаружил серьезную брешь в Skype, связанную с модулем обновления, еще в сентябре прошлого года. Однако, как сообщает издание ZDNet, разработчики не могут выпустить хотфикс, не переписав при этом существенную часть кода.

За счет этой уязвимости злоумышленник может получить полный контроль над операционной системой. Проблема существует на уровне установщика обновлений Updater.exe. Для атаки подходит метод перехвата DLL: скрипт или иная программа помещает во временную папку вредоносную библиотеку и переименовывает ее в одну из загружаемых исполняемым файлом DLL, доступных для изменения пользователем, к примеру UXTheme.dll.

После этого установщик при работе в первую очередь находит вредоносную DLL и начинает действовать по измененным инструкциям. В результате скачивается не обновление Skype, а необходимое злоумышленнику ПО.

Взломщик может не только установить вымогательские программы, но и получить полный доступ к операционной системе с правами суперпользователя.

Метод перехвата DLL работает не только против Windows. Машины под управлением Linux и macOS также под угрозой.

Задачу злоумышленникам усложняет тот факт, что Skype работает на одном уровне с привилегиями текущего пользователя. Взломщики могут нанести серьезный вред только системам, пользователи которых имеют права администратора или выше.

Сотрудники Microsoft тщательно изучили проблему — компания отметила, что приложит все усилия для ее решения, но брешь устранят не в обновлении безопасности, а только в новой версии клиента.

Пока о конкретных случаях использования уязвимости информации нет, о дате выхода новой версии Skype Microsoft тоже пока не сообщает.

Update. Как оказалось, тревоги по поводу отсутствия патча были напрасными. В записи от 14 февраля на форуме техподдержки Skype руководитель этого проекта в Microsoft пояснила, что данная уязвимость была вызвана ошибкой в коде инсталлятора Skype версий 7.40 и ниже для настольных Windows. В инсталляторе текущей версии VoIP-приложения (восьмой) этой проблемы нет. Skype версии 8 был выпущен в октябре, а прежние Microsoft уже удалила со своего сайта skype.com.

Категории: Уязвимости