Microsoft tidak dapat memperbaiki bug Skype tanpa revisi kode yang besar
Analis keamanan siber melaporkan tentang kerentanan Skype yang memungkinkan peretas mendapatkan akses ke akun sistem komputer[1]. Bug berada di fitur pembaruan otomatis aplikasi dan akan membutuhkan penulisan ulang kode besar-besaran yang tidak hanya memakan waktu tetapi juga mahal. Demikian juga, kemungkinan besar Microsoft perlu mengeluarkan versi baru Skype daripada hanya menambal bug.
Menurut Stefan Kanthak, seorang peneliti keamanan mengatakan bahwa kerentanan yang ada di layanan pembaruan Skype dapat dimanfaatkan untuk mendapatkan akses penuh ke obrolan pengguna.[2]. Hal ini menempatkan privasi pengguna Skype dalam risiko karena tidak hanya informasi pribadi yang dapat diekspos tetapi juga disalahgunakan untuk tujuan phishing atau pemerasan. Sekarang penjahat lebih termotivasi dari sebelumnya untuk memperbarui virus Skype.
Teknik pembajakan DLL membantu penjahat mengeksploitasi kerentanan
Teknik yang disebut pembajakan DLL mengacu pada penggantian perpustakaan Microsoft yang sah dengan yang berbahaya. Penyerang perlu menyusup ke file DLL berbahaya ke komputer korban dan mengganti namanya persis sama dengan yang asli
[3]. Dengan cara ini, aplikasi akan mencari perpustakaan dan menemukan file DLL berbahaya terlebih dahulu.Setiap kali Skype diluncurkan, ia memeriksa pembaruan secara otomatis. Setelah menjalankan pembaruan, itu akan menggunakan file eksekusi yang berbeda dan yang justru rentan terhadap pembajakan DLL. Meskipun beberapa penjahat mungkin berjuang untuk menjatuhkan file DLL berbahaya di komputer yang ditargetkan, ada banyak cara bagaimana hal itu dapat dilakukan.
Saat mengirim email spam dengan lampiran yang terinfeksi atau memuat DLL melalui situs web yang teduh adalah sebuah pilihan, spesialis TI menjelaskan bahwa ada cara yang lebih mudah — skrip berbahaya atau malware dapat mentransfer file DLL dari jarak jauh ke folder sementara demikian juga[4].
Microsoft memilih untuk merilis versi baru Skype daripada tambalan sederhana
Microsoft telah mengkonfirmasi bahwa perbaikan bug itu mungkin. Namun, raksasa perangkat lunak menunjukkan bahwa itu akan membutuhkan terlalu banyak pekerjaan[5]. Peneliti menentukan sifat pekerjaan sebagai revisi kode besar untuk memperbaiki bug yang akan memakan waktu.
Namun, Microsoft mengatakan bahwa mereka tetap merilis pembaruan yang sekarang akan disertai dengan versi baru Skype. Jelas bahwa perusahaan tidak akan menghilangkan kerentanan meskipun fakta bahwa pengguna saat ini berisiko. Artinya, penjahat masih memiliki kesempatan untuk mencuri dan menghapus data atau menyusup ransomware ke komputer Windows yang ditargetkan.