Firma Quick Heal Security Labs dowiedziała się niedawno o poważnej luce w instalatorze aktualizacji Skype’a – to zła wiadomość. Najgorsze jest to, że Microsoft nie zamierza w najbliższym czasie załatać tej luki, ponieważ wymagałoby to aktualizacji przez „dużą ilość kodu”.
Na czym polega ta luka?
Badacz bezpieczeństwa, Stefan Kanthak, odkrył lukę w zabezpieczeniach we wrześniu 2017r. Stwierdził, że tę lukę można wykorzystać za pomocą techniki przechwytywania DLL, która zachęca Skype do użycia złośliwego kodu zamiast rzeczywistego kodu Microsoft.
To nie pierwszy raz, kiedy Skype miał problem z bezpieczeństwem. W czerwcu 2017 r. ujawniono krytyczną lukę w usłudze przesyłania wiadomości, która może pozwolić hakerom na psucie systemów i wykonanie w nich złośliwych skryptów. Zostało to później naprawione przez Microsoft.
Skype to jedna z tych aplikacji, które wykorzystują wspólny framework open-source stosowany w aplikacjach o nazwie „Electron”. Później odkryto, że Electron ma krytyczną lukę, przez co Skype jest również podatny na ataki.
Według Stefana Kanthaka, ta luka w zabezpieczeniach nie jest specyficzna dla systemu operacyjnego Microsoftu, a użytkownicy komputerów Mac i Linux są również potencjalnie narażeni na przejęcie kontroli przez DLL.
Ważne jest, aby pamiętać, że ta luka dotyczy aplikacji Skype dla komputerów stacjonarnych, a nie aplikacji Universal Windows Platform, która jest dołączona do komputerów z systemem Windows 10, ponieważ te aplikacje mają własne instalatory aktualizacji, które są podatne na technikę przejmowania DLL.
Jak poważna jest ta luka?
Luka bezpieczeństwa pozwala atakującym na uzyskanie przywilejów na poziomie systemu. Oznacza to, że osoby atakujące mogą uzyskać pełną kontrolę nad systemem, którego dotyczy luka, i wykonywać różnego rodzaju złośliwe czynności, takie jak usuwanie plików osobistych, kradzież poufnych informacji, przechowywanie danych “zakładników” przez uruchomienie oprogramowania ransomware lub zainstalowanie złośliwego oprogramowania na komputerze.
Ponieważ ta usterka nie ogranicza się tylko do systemu Windows i może wpływać na użytkowników komputerów Mac i Linux, stwarza to duże pole do popisu dla atakujących.
Microsoft stwierdził, że wada wymaga ogromnej rewizji kodu, który jest obecnie niepraktyczny. Będą naprawiać lukę w przyszłej wersji aplikacji; daty wydania tej wersji nie są jeszcze dostępne.
Zatem, dopóki ta luka nie zostanie naprawiona, zdecydowanie zalecamy użytkownikom unikanie korzystania z aplikacji Skype dla systemu Windows i rozważenie alternatywnych rozwiązań, takich jak WhatsApp.