Vulnerabilità in Skype può permettere l'esecuzione di codice con i privilegi SYSTEM

La routine di aggiornamento di Skype soffre di un problema di sicurezza che può essere sfruttato, da parte di un’applicazione malevola o di un utente malintenzionato, per eseguire codice con i diritti SYSTEM, addirittura più estesi rispetto a quelli che contraddistinguono gli account amministrativi.

A spiegarlo è Stefan Kanthak, ricercatore che ha scoperto come Skype sia vulnerabile alla tecnica chiamata DLL Search Order Hijacking.
Salvando una libreria DLL malevola in una cartella temporanea, si può indurre la procedura di aggiornamento di Skype a caricarla e a utilizzarne il contenuto. Il caricamento del codice dannoso si verifica perché Skype non verifica puntualmente i percorsi ma va alla ricerca delle librerie di cui ha bisogno in diverse locazioni di memoria: allorquando la DLL malevola venisse rilevata per prima, il suo contenuto verrebbe automaticamente eseguito.

Microsoft ha confermato l’esistenza del problema ma ha precisato che non sarà corretto a breve perché questo tipo di intervento richiederebbe la riscrittura di una vasta porzione del codice di Skype. L’azienda preferisce investire sullo sviluppo di un nuovo client di messaggistica, più versatile, maggiormente interoperabile e sicuro.

Secondo Kanthak il problema non riguarda solamente Windows ma anche macOS e Linux; inoltre, si conferma un ottimo strumento da punto di vista degli aggressori che possono eseguire codice dannoso con i privilegi più ampi possibili.