Microsoft nie może naprawić błędu Skype'a bez ogromnej zmiany kodu
Analitycy cyberbezpieczeństwa zgłaszają lukę w zabezpieczeniach Skype, która umożliwia hakerom uzyskanie dostępu do konta systemowego komputera[1]. Błąd tkwi w funkcji automatycznej aktualizacji aplikacji i wymagałby ogromnego przepisywania kodu, co jest nie tylko czasochłonne, ale także kosztowne. Podobnie jest bardziej prawdopodobne, że Microsoft będzie musiał wydać nową wersję Skype'a, zamiast po prostu załatać błąd.
Według Stefana Kanthaka, badacz bezpieczeństwa twierdzi, że luka obecna w usłudze aktualizacji Skype może zostać wykorzystana do uzyskania pełnego dostępu do czatu użytkownika[2]. Naraża to prywatność użytkowników Skype'a, ponieważ nie tylko prywatne informacje mogą zostać ujawnione, ale także wykorzystane do celów phishingowych lub szantażu. Teraz oszuści są bardziej niż kiedykolwiek zmotywowani do aktualizacji Wirus Skype.
Technika przechwytywania DLL pomaga przestępcom wykorzystać lukę
Technika zwana porwaniem DLL odnosi się do zastąpienia legalnej biblioteki Microsoft tą złośliwą. Atakujący musi przeniknąć złośliwy plik DLL na komputer ofiary i zmienić jego nazwę na dokładnie taką samą jak oryginalna
[3]. W ten sposób aplikacja najpierw przeszuka bibliotekę i znajdzie złośliwy plik DLL.Za każdym razem, gdy uruchamia się Skype, automatycznie sprawdza dostępność aktualizacji. Po uruchomieniu aktualizatora użyje innego pliku wykonywalnego, który jest dokładnie podatny na przejęcie DLL. Mimo że niektórzy przestępcy mogą mieć trudności z upuszczeniem złośliwego pliku DLL na docelowy komputer, istnieje wiele sposobów, jak można to zrobić.
Podczas gdy wysyłanie wiadomości spamowych z zainfekowanymi załącznikami lub ładowanie DLL przez podejrzane strony internetowe jest opcją, specjalista IT wyjaśnia, że jest prostszy sposób — złośliwy skrypt lub złośliwe oprogramowanie może zdalnie przenieść plik DLL do folderu tymczasowego także[4].
Microsoft zdecydował się wydać nową wersję Skype'a, a nie prostą łatkę
Microsoft potwierdził, że naprawienie błędu było możliwe. Gigant oprogramowania zaznaczył jednak, że wymagałoby to zbyt wiele pracy[5]. Badacz określił charakter pracy jako ogromną korektę kodu w celu naprawienia błędu, co byłoby czasochłonne.
Jednak Microsoft powiedział, że i tak wypuszcza aktualizację, której teraz będzie towarzyszyć nowa wersja Skype'a. Oczywiste jest, że firma nie zamierza wyeliminować luki, mimo że użytkownicy są obecnie zagrożeni. Oznacza to, że przestępcy nadal mają szansę ukraść i usunąć dane lub infiltrować oprogramowanie ransomware na zaatakowanych komputerach z systemem Windows.