1962 Letture
Vulnerabilità in Skype può permettere l'esecuzione di codice con i privilegi SYSTEM

Vulnerabilità in Skype può permettere l'esecuzione di codice con i privilegi SYSTEM

La lacuna di sicurezza è stata scoperta nella procedura di aggiornamento del client di messaggistica sviluppato da Microsoft: un aggressore può provocare il caricamento di una DLL non autorizzata ed eseguire codice dannoso con i privilegi di sistema.

La routine di aggiornamento di Skype soffre di un problema di sicurezza che può essere sfruttato, da parte di un'applicazione malevola o di un utente malintenzionato, per eseguire codice con i diritti SYSTEM, addirittura più estesi rispetto a quelli che contraddistinguono gli account amministrativi.

A spiegarlo è Stefan Kanthak, ricercatore che ha scoperto come Skype sia vulnerabile alla tecnica chiamata DLL Search Order Hijacking.
Salvando una libreria DLL malevola in una cartella temporanea, si può indurre la procedura di aggiornamento di Skype a caricarla e a utilizzarne il contenuto. Il caricamento del codice dannoso si verifica perché Skype non verifica puntualmente i percorsi ma va alla ricerca delle librerie di cui ha bisogno in diverse locazioni di memoria: allorquando la DLL malevola venisse rilevata per prima, il suo contenuto verrebbe automaticamente eseguito.

Vulnerabilità in Skype può permettere l'esecuzione di codice con i privilegi SYSTEM

Microsoft ha confermato l'esistenza del problema ma ha precisato che non sarà corretto a breve perché questo tipo di intervento richiederebbe la riscrittura di una vasta porzione del codice di Skype. L'azienda preferisce investire sullo sviluppo di un nuovo client di messaggistica, più versatile, maggiormente interoperabile e sicuro.

Secondo Kanthak il problema non riguarda solamente Windows ma anche macOS e Linux; inoltre, si conferma un ottimo strumento da punto di vista degli aggressori che possono eseguire codice dannoso con i privilegi più ampi possibili.

Vulnerabilità in Skype può permettere l'esecuzione di codice con i privilegi SYSTEM - IlSoftware.it