Se descubrió una grave vulnerabilidad en el servicio de llamadas de voz y Skype, el servicio web de voz más popular de propiedad de Microsoft, que podría permitir a los atacantes obtener el control total de la máquina host al otorgar privilegios de nivel de sistema a un usuario local sin privilegios.
La peor parte es que esta vulnerabilidad no será reparada por Microsoft en el corto plazo.
No es porque la falla no sea compatible, sino porque corregir la vulnerabilidad requiere una reescritura de software significativa, lo que indica que la empresa deberá emitir una versión totalmente nueva de Skype en lugar de solo un parche.
La vulnerabilidad ha sido descubierta e informado a Microsoft por el investigador de seguridad Stefan Kanthak y reside en el instalador de actualizaciones de Skype, que es susceptible al secuestro de las bibliotecas de vínculos dinámicos (DLL).
Según el investigador, un atacante potencial podría explotar la «funcionalidad del cargador DLL de Windows donde el proceso de carga de la DLL busca que la DLL se cargue primero en el mismo directorio en el que reside el binario del proceso y luego en otros directorios».
La explotación de esta orden de búsqueda preferencial permitiría al atacante secuestrar el proceso de actualización descargando y colocando una versión maliciosa de un archivo DLL en una carpeta temporal de una PC con Windows y renombrándola para que coincida con una DLL legítima que puede ser modificada por un privilegiado usuario sin tener privilegios de cuenta especiales.
Cuando el instalador de actualizaciones de Skype intente encontrar el archivo DLL relevante, primero encontrará el archivo DLL malicioso y, por lo tanto, instalará el código malicioso.
Aunque Kanthak demostró el ataque con la versión de Windows de Skype, cree que el mismo método de secuestro de DLL también podría funcionar contra otros sistemas operativos, incluidas las versiones de Skype para macOS y Linux.
Kanthak informó a Microsoft sobre la vulnerabilidad de Skype en septiembre, pero la compañía le dijo que el parche requeriría que el instalador de la actualización de Skype pasara por «una gran revisión del código», le dijo Kanthak a ZDNet.
Entonces, en lugar de lanzar una actualización de seguridad, Microsoft decidió construir una nueva versión del cliente de Skype que resolvería la vulnerabilidad.
Cabe señalar que esta vulnerabilidad solo afecta a Skype para la aplicación de escritorio, que utiliza su instalador de actualización que es vulnerable a la técnica de secuestro de DLL. La versión de la aplicación Universal Windows Platform (UWP) disponible en la Tienda Microsoft para PC con Windows 10 no se ve afectada.
La vulnerabilidad ha sido clasificada como «mediana» en gravedad, pero Kanthak dijo que «el ataque podría ser fácilmente armado». Dio dos ejemplos, que aún no se han publicado.
Hasta que la empresa emita una nueva versión del cliente de Skype, se recomienda a los usuarios que tengan precaución y eviten hacer clic en los archivos adjuntos provistos en un correo electrónico. Además, asegúrese de ejecutar un software antivirus adecuado y actualizado que ofrezca alguna defensa contra dichos ataques.
Esta no es la primera vez que Skype se enfrenta a un grave problema de seguridad. En junio de 2017, se reveló una falla crítica en Skype antes de que Microsoft publicara una solución para el problema que permitía a los piratas informáticos bloquear sistemas y ejecutar códigos maliciosos en ellos.
El mes pasado, entre varias aplicaciones de mensajería, Skype también lidió con una vulnerabilidad crítica de ejecución remota de código en Electron, un popular marco de aplicaciones web ampliamente utilizado en aplicaciones de escritorio.
Fuente: thehackernews.com