A Microsoft não pode consertar bug do Skype sem uma grande revisão de código
Analistas de segurança cibernética relatam sobre a vulnerabilidade do Skype, que permite que hackers tenham acesso à conta do sistema do computador[1]. O bug reside no recurso de atualização automática do aplicativo e exigiria uma reescrita massiva de código, o que não só é demorado, mas também caro. Da mesma forma, é mais provável que a Microsoft precise lançar uma nova versão do Skype em vez de simplesmente corrigir o bug.
De acordo com Stefan Kanthak, um pesquisador de segurança diz que a vulnerabilidade que está presente no serviço de atualização do Skype pode ser explorada para obter acesso total ao chat do usuário[2]. Isso coloca em risco a privacidade dos usuários do Skype, uma vez que não apenas informações privadas podem ser expostas, mas também utilizadas indevidamente para fins de phishing ou chantagem. Agora os vigaristas estão mais motivados do que nunca para atualizar Vírus Skype.
A técnica de sequestro de DLL ajuda os criminosos a explorar a vulnerabilidade
A técnica chamada sequestro de DLL refere-se à substituição da biblioteca legítima da Microsoft por uma biblioteca maliciosa. Um invasor precisa se infiltrar no arquivo DLL malicioso no computador da vítima e renomeá-lo exatamente como o original[3]. Dessa forma, o aplicativo pesquisaria a biblioteca e localizaria o arquivo DLL malicioso primeiro.
Cada vez que o Skype é iniciado, ele verifica se há atualizações automaticamente. Depois de executar o atualizador, ele usaria um arquivo executável diferente e que é precisamente vulnerável ao sequestro de DLL. Mesmo que alguns criminosos tenham dificuldade em soltar o arquivo DLL malicioso no computador de destino, há várias maneiras de fazer isso.
Embora enviar e-mails de spam com anexos infectados ou carregar DLL através de sites obscuros seja uma opção, especialista em TI explica que existe uma maneira mais fácil - um script malicioso ou malware pode transferir remotamente o arquivo DLL para uma pasta temporária também[4].
A Microsoft optou por lançar uma nova versão do Skype em vez de um patch simples
A Microsoft confirmou que é possível corrigir o bug. No entanto, a gigante do software apontou que exigiria muito trabalho[5]. O pesquisador especificou a natureza do trabalho como uma grande revisão de código para consertar o bug, que seria demorado.
No entanto, a Microsoft disse que está lançando uma atualização de qualquer maneira que agora será acompanhada por uma nova versão do Skype. É evidente que a empresa não vai eliminar a vulnerabilidade, apesar de os usuários estarem em risco. Isso significa que os criminosos ainda têm a chance de roubar e excluir dados ou se infiltrar em ransomware nos computadores Windows visados.