A partire da gennaio, 2018, Skype è stato utilizzato da circa il 300 milioni di utenti, secondo le statistiche di Statista. Anche se Skype non è il messaggero più popolare e ampiamente utilizzato, la sua base di utenti è ancora abbastanza grande. Quindi, qualsiasi notizia in merito a una lacuna nella sicurezza di Skype è fastidioso, per non dire altro.
Tale è il caso con la vulnerabilità grave recentemente scoperto in Skype, che potrebbe consentire agli aggressori di ottenere l'accesso completo al host compromesso. Ciò accadrebbe acquisendo privilegi a livello di sistema per un utente locale senza privilegi. La falla è stata scoperta da ricercatore di sicurezza Stefan Kanthak che hanno segnalato a Microsoft. Il difetto risiede nella installazione dell'aggiornamento di Skype trovato essere vulnerabile a DLL dirottamento.
La gravità della vulnerabilità DLL hijacking, tuttavia, non è l'unico problema qui. Apparentemente, Microsoft, il proprietario di Skype, Non è intenzione di fissare il difetto in qualunque momento presto. Il motivo non è perché il difetto non può essere corretto. È perché l'applicazione di patch richiederebbe il software deve essere interamente riscritta. Che cosa significa questo? Invece di limitarsi a rilasciare una patch, Microsoft dovrebbe rilasciare una nuova versione del messenger.
Di più su DLL Hijacking vulnerabilità
In caso di un tale attacco, gli hacker avrebbero sfruttare la funzionalità del caricatore DLL di Windows. "Lo sfruttamento di questo ordine di ricerca preferenziale può consentire a un utente per rendere il processo di caricamento caricare gli attaccanti’ rogue DLL piuttosto che la DLL legittima,”Ricercatori hanno spiegato. Più specificamente:
Un utente malintenzionato con l'accesso al file system può mettere un ntshrui.dll dannoso presente in C:\directory di Windows. Questa DLL si trova normalmente nella cartella System32. Processo explorer.exe che risiede anche in C:\Windows, al momento cercando di caricare il ntshrui.dll dalla cartella System32 effettivamente caricare la DLL fornito dal attaccante semplicemente perché l'ordine di ricerca preferenziale.
Dal momento che l'attaccante ha posto la sua ntshrui.dll dannoso nella stessa directory come il processo explorer.exe carico, la DLL fornito dal malintenzionato si troverà primo e quindi caricata in luogo del DLL legittimo. Poiché explorer.exe viene caricato durante il ciclo di avvio, gli attaccanti’ il malware è garantito da eseguire.
Tutto ciò significa che l'attacco sfruttando la falla dirottamento Skype DLL può avvenire utilizzando una serie di file DLL con i vari processi di caricamento. La parte peggiore è che non sentieri sono lasciati sia nel Registro di sistema e file system che indica che una DLL non corretta in precedenza era stato caricato.
In caso di dirottamento positivo del processo di aggiornamento, l'utente malintenzionato dovrebbe scaricare e posizionare la DLL pericoloso in una cartella temporanea. Quando di installazione degli aggiornamenti di Skype tenta di individuare la DLL in questione, sarà individuare quello dannoso invece, e installerà il codice pericoloso.
Anche se Kanthak, il ricercatore che ha segnalato la falla, testato l'attacco sulla versione desktop di Windows di Skype, egli ritiene che la stessa tecnica DLL hijacking potrebbe essere usata contro altri sistemi operativi come Linux e MacOS. Va notato che l'exploit della falla lavora sulla versione desktop di Skype.
Alcune vulnerabilità in Skype non una cosa nuova
Nel mese di giugno, 2017, un altro grave difetto è stato trovato in Skype. Il difetto è stato dato l'identificatore CVE-2017-9948 ed è stato un overflow del buffer di stack uno in Microsoft Skype 7.2, 7.35, e 7.36 prima 7.37. Il difetto coinvolti Msftedit.dll cattiva gestione dei contenuti RDP appunti remoto entro la finestra di messaggio, come spiegato dai ricercatori. La vulnerabilità altamente grave è stato divulgato il 16 maggio, 2017.
La vulnerabilità è stata sfruttata da remoto tramite una sessione o interazione locale. Il problema risiedeva nel formato Appunti di stampa & trasmissione cache di via sessione remota. I sistemi interessati sono Windows XP, Windows 7, Windows 8 e Windows 10. Tenete a mente che la vulnerabilità è stata affrontata e rattoppato in Skype v7.37.
Per quanto riguarda l'attuale falla DLL hijacking, fino a quando Microsoft è fatto lavorando sulla nuova versione di Skype che andrà a sostituire quello attualmente vulnerabili, gli utenti dovrebbero essere più cauti con le loro attività on-line. E 'altamente consigliabile utilizzare un programma anti-malware per proteggere il sistema da attacchi di malware.
scanner SpyHunter rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: