A partir de janeiro, 2018, Skype foi usado por aproximadamente 300 milhões de usuários, de acordo com estatísticas por statista. Mesmo que o Skype não é o mensageiro mais popular e amplamente utilizado, sua base de usuários ainda é bastante grande. Portanto, qualquer notícia sobre uma brecha na segurança do Skype é problemática, para dizer o mínimo.
Esse é o caso da vulnerabilidade severa recentemente descoberta no Skype, que pode permitir que os invasores obtenham acesso total ao host comprometido. Isso aconteceria através da obtenção de privilégios de nível de sistema para um usuário local sem privilégios. A falha foi descoberta pelo pesquisador de segurança Stefan Kanthak que relataram que a Microsoft. Reside a falha no instalador da atualização do Skype encontrado para ser vulnerável a DLL hijacking.
A gravidade da vulnerabilidade DLL hijacking, Contudo, não é a única questão aqui. Pelo visto, Microsoft, o proprietário do Skype, não está pensando em fixar a falha em breve. A razão não é porque a falha não pode ser remendado. É porque remendar isso exigiria o software para ser totalmente re-escrito. O que isto significa? Em vez de simplesmente libertar um remendo, Microsoft teria de lançar uma nova versão do mensageiro.
Mais sobre a vulnerabilidade de sequestro de DLL
No caso de tal ataque, hackers explorariam a funcionalidade do carregador de DLL do Windows. “A exploração desta ordem de pesquisa preferencial pode permitir que um invasor faça o processo de carregamento carregar os invasores’ DLL desonesta em vez da DLL legítima,”Pesquisadores explicaram. Mais especificamente:
Um invasor com acesso ao sistema de arquivos pode colocar um ntshrui.dll malicioso no C:\diretório do Windows. Esta DLL normalmente reside na pasta System32. Explorer.exe de processo, que também reside em C:\janelas, ao tentar carregar o ntshrui.dll da pasta System32 irá, na verdade, carregar a DLL fornecida pelo invasor simplesmente por causa da ordem de pesquisa preferencial.
Como o invasor colocou seu ntshrui.dll malicioso no mesmo diretório do processo de carregamento do explorer.exe, a DLL fornecida pelo invasor será encontrada primeiro e, portanto, carregada no lugar da DLL legítima. Como o explorer.exe é carregado durante o ciclo de inicialização, os atacantes’ malware tem garantia de execução.
Todos os itens acima significam que o ataque que aproveita a falha de sequestro de DLL do Skype pode acontecer usando uma variedade de arquivos DLL com vários processos de carregamento. A pior parte é que há trilhas são deixados em ambos o sistema de registro e arquivo indicando que uma DLL incorreta tinha sido previamente carregado.
No caso de um seqüestro bem-sucedida do processo de atualização, o invasor baixar e colocar a DLL malicioso em uma pasta temporária. Quando a atualização do Skype instalador tentativas para localizar o DLL relevante, ele irá localizar o malicioso vez, e irá instalar o código criado maliciosamente.
Mesmo que Kanthak, o pesquisador que relatou a falha, testou o ataque à versão desktop do Windows do Skype, ele acredita que a mesma técnica DLL hijacking poderia ser usado contra outros sistemas operacionais como Linux e MacOS. Note-se que a exploração das obras falha no versão desktop do Skype.
Vulnerabilidades no Skype não é uma coisa nova
Em junho, 2017, outra falha grave foi encontrada no Skype. A falha recebeu o identificador CVE-2017-9948 e foi um estouro de buffer de pilha no Microsoft Skype 7.2, 7.35, e 7.36 antes 7.37. A falha envolvia o manuseio incorreto de MSFTEDIT.DLL do conteúdo da área de transferência RDP remota na caixa de mensagem, como explicado por pesquisadores. A vulnerabilidade altamente grave foi divulgada em 16 de maio, 2017.
A vulnerabilidade pode ser explorada remotamente por meio de uma sessão ou interação local. O problema residia no formato da área de transferência de impressão & transmissão em cache via sessão remota. Os sistemas afetados eram o Windows XP, janelas 7, janelas 8 e Windows 10. Lembre-se de que a vulnerabilidade foi corrigida e corrigida no Skype v7.37.
Quanto à falha de sequestro de DLL atual, até que a Microsoft termine de trabalhar na nova versão do Skype que substituirá a atualmente vulnerável, os usuários devem ser extremamente cautelosos com suas atividades online. É altamente recomendável empregar um programa anti-malware para proteger o sistema contra ataques de malware.
digitalizador SpyHunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: