Fra januar, 2018, Skype er blevet brugt af ca. 300 million brugere, ifølge statistikker fra Statista. Selvom Skype er ikke den mest populære og udbredte budbringer, sin brugerbase stadig er ganske stor. Så enhver nyheder om et smuthul i sikkerheden i Skype er generende, at sige det mildt.
Det er tilfældet med den nyligt opdagede alvorlig sårbarhed i Skype, som kan gøre det muligt for angribere at få fuld adgang til kompromitteret vært. Dette ville ske ved at opnå systemniveau privilegier til en lokal bruger uden rettigheder. Fejlen blev opdaget af sikkerhedsekspert Stefan Kanthak som rapporterede det til Microsoft. Fejlen er bosat i Skypes opdateringsinstalleren sig at være sårbare over for DLL kapring.
Sværheden af DLL kapringen sårbarhed, dog, er ikke det eneste problem her. Tilsyneladende, Microsoft, ejeren af Skype, er ikke planer om fastsættelse fejlen helst snart. Årsagen er ikke, fordi fejl kan ikke blive lappet. Det er fordi patching det ville kræve, at software, der skal helt omskrevet. Hvad betyder det? I stedet for blot at frigive en patch, Microsoft skulle frigive en helt ny version af messenger.
Mere om DLL Hijacking Sårbarhed
I tilfælde af et sådant angreb, hackere vil udnytte funktionaliteten af Windows DLL loader. "Udnyttelse af denne fortrinsret søgning ordre kan give en hacker mulighed for at gøre indlæsningen indlæse angriberne’ rogue DLL snarere end den legitime DLL,”Forskerne forklarede. Mere specifikt:
En hacker med adgang til filsystemet kan placere en ondsindet ntshrui.dll i C:\Windows-mappen. Denne DLL bor normalt i mappen System32. Proces explorer.exe som også bor i C:\Vinduer, ved at forsøge at indlæse ntshrui.dll fra mappen System32 rent faktisk vil indlæse DLL leveret af angriberen simpelthen på grund af den præferentielle søgerækkefølgen.
Da angriberen har placeret sin ondsindede ntshrui.dll i samme mappe som lastning explorer.exe processen, DLL leveret af angriberen vil blive fundet først og således er lagt i stedet for den legitime DLL. Da explorer.exe er indlæst under opstartsprocessen cyklus, angriberne’ malware er garanteret til at udføre.
Alle ovenstående betyder, at angrebet udnytte Skype DLL kapringen fejl kan ske ved hjælp af en vifte af DLL-filer med forskellige lastning processer. Den værste del er, at ingen stier er tilbage i både registreringsdatabasen og filsystemet hvilket indikerer, at en forkert DLL havde været tidligere indlæst.
I tilfælde af en vellykket kapring af opdateringen, angriberen ville hente og placere skadeligt DLL til en midlertidig mappe. Når Skypes opdatering installatør forsøg på at lokalisere den relevante DLL, det vil lokalisere ondsindet én i stedet, og vil installere det skadeligt kode.
Selvom Kanthak, den forsker, der rapporterede fejlen, testet angrebet på Windows-desktop-versionen af Skype, han mener, at den samme DLL kapringen teknik kunne bruges mod andre operativsystemer som Linux og MacOS. Det skal bemærkes, at den udnytter den fejl arbejder på desktop-versionen af Skype.
Sårbarheder i Skype Ikke en ny ting
I juni, 2017, en anden alvorlig brist blev fundet i Skype. Fejlen fik CVE-2017-9948 identifikator og var en stackbufferoverløb én i Microsoft Skype 7.2, 7.35, og 7.36 Før 7.37. Fejlen er involveret MSFTEDIT.DLL forkert behandling af fjernbetjening RDP udklipsholderen indhold i meddelelsesfeltet, som forklaret af forskere. Den yderst alvorlig sårbarhed blev afsløret den 16 maj, 2017.
Sårbarheden var udnyttes eksternt via en session eller ved lokal interaktion. Spørgsmålet var bosiddende i den trykte klippebordet format & cache transmittere via fjernsession. Påvirkede systemer var Windows XP, Vinduer 7, Vinduer 8 og Windows 10. Husk, at sårbarheden blev behandlet og lappet i Skype v7.37.
Med hensyn til den aktuelle DLL kapring fejl, indtil Microsoft er færdig med at arbejde på den helt nye version af Skype, der skal erstatte den aktuelt sårbar én, brugere bør være ekstra forsigtig med deres online aktiviteter. Det er meget tilrådeligt at ansætte en anti-malware program til at beskytte systemet mod malware-angreb.
SpyHunter scanner vil kun afsløre truslen. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: