En Janvier, 2018, Skype a été utilisé par environ 300 millions d'utilisateurs, selon les statistiques de Statista. Même si Skype est pas le messager le plus populaire et largement utilisé, sa base d'utilisateurs est encore assez grand. Ainsi, toutes les nouvelles au sujet d'une faille dans la sécurité de Skype est gênant, pour dire le moins.
Tel est le cas avec la forte vulnérabilité récemment découverte dans Skype qui pourrait permettre à des attaquants d'obtenir un accès complet à l'hôte compromis. Cela se produirait par obtenir des privilèges au niveau du système à un utilisateur local sans privilèges. La faille a été découverte par le chercheur en sécurité Stefan Kanthak qui l'a signalé à Microsoft. La faille réside dans le programme d'installation de mise à jour de Skype jugé vulnérable à DLL hijacking.
La gravité de la vulnérabilité de détournement d'avion DLL, cependant, est pas le seul problème ici. Apparemment, Microsoft, le propriétaire de Skype, n'est pas l'intention de fixer la faille dans un proche avenir. La raison est pas parce que le défaut ne peut pas être patché. C'est parce que patcher il faudrait que le logiciel soit entièrement réécrite. Qu'est-ce que cela signifie? Au lieu de libérer simplement un patch, Microsoft devrait sortir une toute nouvelle version du messager.
En savoir plus sur la vulnérabilité DLL Détournement
En cas de une telle attaque, les pirates exploiteraient la fonctionnalité du chargeur DLL de Windows. "L'exploitation de cet ordre de recherche préférentiel peut permettre à un attaquant de rendre le processus de chargement charger les attaquants’ voyous DLL plutôt que la DLL légitime,» Chercheurs ont expliqué. Plus précisement:
Un attaquant ayant accès au système de fichiers peut placer un ntshrui.dll malveillant dans le répertoire C:\répertoire windows. Cette DLL réside normalement dans le dossier System32. Procédé explorer.exe qui réside également dans C:\Fenêtres, à essayer de charger le ntshrui.dll à partir du dossier System32 va réellement charger la DLL fournie par l'attaquant simplement à cause de l'ordre de recherche préférentiel.
Étant donné que l'attaquant a placé son ntshrui.dll malveillant dans le même répertoire que le processus explorer.exe de chargement, la DLL fournie par l'attaquant sera trouvé en premier et ainsi chargé en lieu et place de la DLL légitime. Depuis explorer.exe est chargé pendant le cycle de démarrage, les attaquants’ Malware est garanti pour exécuter.
Tous les moyens ci-dessus que l'attaque tirant parti de la faille de DLL Skype peut détournement d'avion s'utilisant une gamme de fichiers DLL avec divers processus de chargement. Le pire est que pas de sentiers sont laissés dans le Registre et le système de fichiers indiquant qu'une DLL incorrecte avait été chargée.
Dans le cas d'un détournement d'avion réussie du processus de mise à jour, l'attaquant télécharger et placer la DLL construite de manière malveillante dans un dossier temporaire. Lorsque le programme d'installation de mise à jour de Skype tente de localiser la DLL pertinente, il localisera le méchant au lieu, et installera le code malveillant.
Même si Kanthak, le chercheur qui a signalé le défaut, testé l'attaque sur la version de bureau Windows de Skype, il croit que la même technique de détournement d'avion DLL pourrait être utilisé contre d'autres systèmes d'exploitation comme Linux et Mac OS. Il convient de noter que l'exploit de la faille fonctionne sur la version de bureau de Skype.
Des vulnérabilités dans Skype pas une chose nouvelle
En Juin, 2017, un autre défaut grave a été trouvé dans Skype. Le défaut a été donné l'identificateur de CVE-2017-9948 et a un débordement de mémoire tampon de la pile dans une Microsoft Skype 7.2, 7.35, et 7.36 avant 7.37. Le défaut impliqué Msftedit.dll une mauvaise manipulation du contenu du presse-papiers RDP à distance dans la boîte de message, comme indiqué par les chercheurs. La vulnérabilité très grave a été révélé le 16 mai, 2017.
La vulnérabilité a été exploitée à distance via une session ou par interaction locale. La question résidait dans l'impression format de presse-papiers & transmission de cache par session à distance. Les systèmes concernés sont Windows XP, Fenêtres 7, Fenêtres 8 et Windows 10. Gardez à l'esprit que la vulnérabilité a été adressée et corrigé dans Skype v7.37.
En ce qui concerne le défaut de détournement d'avion DLL en cours, jusqu'à ce que Microsoft se fait de travailler sur la toute nouvelle version de Skype qui remplacera celui actuellement vulnérable, les utilisateurs doivent être prudents avec leurs supplémentaires activités en ligne. Il est fortement conseillé d'utiliser un programme anti-malware pour protéger le système contre les attaques de logiciels malveillants.
scanner SpyHunter ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter