Se descubrió una grave vulnerabilidad en el popular servicio de llamadas de voz y video-conferencia Skype propiedad de Microsoft, que podría permitir a los atacantes remotos obtener control total de la máquina que está ejecutando Skype, al otorgar privilegios de nivel de sistema a un usuario local sin privilegios. La peor parte es que esta vulnerabilidad en sí misma, sino que Microsoft no planea solucionarla en el corto plazo.

No es porque la falla no se pueda reparar, sino porque corregir la vulnerabilidad requiere una reescritura significativa del programa, lo que indica que la empresa deberá emitir una versión totalmente nueva de Skype en lugar de tan sólo un parche.

La vulnerabilidad ha sido descubierta e informada a Microsoft por el investigador de seguridad Stefan Kanthak y reside en el instalador de actualizaciones de Skype, que es susceptible al secuestro de las bibliotecas de vínculos dinámicos (DLL).

Según el investigador, un atacante potencial podría explotar la “funcionalidad del cargador DLL de Windows donde el proceso de carga de las DLL busca cargar primero las DLL que están en el mismo directorio en el que reside el proceso binario y luego en otros directorios“.

La explotación de este orden de búsqueda preferencial permitiría a un atacante secuestrar el proceso de actualización de carga de librería y colocando una versión maliciosa de un archivo DLL en una carpeta temporal de una PC con Windows y renombrándola para que coincida con el nombre de una DLL legítima, entonces puede usar esta librería modificada para darle a un usuario privilegios especiales, sin que la librería maliciosa en sí tenga privilegios de cuenta especiales.

Cuando el instalador de actualizaciones de Skype intente encontrar el archivo DLL relevante, primero encontrará el archivo DLL malicioso y por lo tanto, instalará el código malicioso.

Aunque Kanthak demostró el ataque con la versión de Windows de Skype, cree que el mismo método de secuestro de DLL también podría funcionar contra otros sistemas operativos, incluidas las versiones de Skype para macOS y Linux.

Kanthak informó a Microsoft sobre la vulnerabilidad de Skype en septiembre, pero Microsoft le dijo que el parche requeriría que el instalador de la actualización de Skype pasaría por “una gran revisión del código”, según declaró a ZDNet.

Entonces, en lugar de lanzar una actualización de seguridad, Microsoft decidió construir una nueva versión del cliente de Skype que resolvería la vulnerabilidad.

Cabe señalar que esta vulnerabilidad solo afecta a Skype para la aplicación de escritorio, que utiliza su instalador de actualización que es vulnerable a la técnica de secuestro de DLL. La versión de la aplicación Universal Windows Platform (UWP) disponible en la Tienda Microsoft para PC con Windows 10 no se ve afectada.

Hasta que Microsoft no libere una nueva versión del cliente de Skype, se recomienda a los usuarios que tengan precaución y eviten hacer click en los archivos adjuntos provistos en un correo electrónico. Además, asegúrese de ejecutar un software antivirus actualizado y que ofrezca alguna defensa contra dichos ataques.

Esta no es la primera vez que Skype se enfrenta a un grave problema de seguridad. En junio de 2017, se reveló una falla crítica en Skype antes de que Microsoft publicara un parche para el problema que permitía a los ciberdelincuentes bloquear sistemas y ejecutar códigos maliciosos en ellos.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s