14/02/2018 di Redazione

Skype ha una falla grave, ma Microsoft non può fare nulla

Il processo di aggiornamento automatico dell’applicazione nasconde un serio bug che potrebbe portare alla totale compromissione delle macchine. L’azienda di Redmond ha dichiarato che sviluppare una patch in tempi brevi è impossibile: sarebbe necessaria un

immagine.jpg

Il codice di Skype andrebbe completamente riscritto per risolvere una grave falla. È questo l’allarme lanciato dal ricercatore in ambito cybersecurity Stefan Kanthak, che nelle ultime ore ha gettato nel panico i milioni di utilizzatori del servizio Voip di proprietà di Microsoft. Il bug, confermato dalla stessa azienda, coinvolge il meccanismo di aggiornamento automatico di Skype ed è sensibile a una tecnica nota come Dll hijacking: se sfruttata correttamente, la vulnerabilità darebbe a un attaccante di elevare i privilegi di un account trasformandolo nell’amministratore del sistema. Con tutte le possibili conseguenze del caso, compresa la totale manomissione della macchina. Per portare a compimento l’impresa, un hacker non dovrebbe fare altro che copiare una libreria Dll (dynamic-link library) in una qualsiasi cartella temporanea accessibile dalla vittima e rinominare il file in una Dll già esistente, in modo che l’applicazione vada ad aprire proprio quella libreria e non quella originale.

Al momento Microsoft ha dichiarato a Zdnet di non voler risolvere immediatamente la falla, perché lo sviluppo di una patch richiederebbe troppo lavoro. È proprio il coinvolgimento del processo di aggiornamento automatico di Skype, che viene eseguito con i massimi privilegi dal sistema, a complicare il tutto. Per mettere in sicurezza l’app, infatti, servirebbe una riscrittura completa del codice e i tempi per la distribuzione di una major release sono molto lunghi.

Ecco perché ad oggi l’obiettivo di Microsoft sarebbe quello di sviluppare una versione totalmente nuova della piattaforma, il che però allunga ulteriormente il processo. E l’azienda non ha ancora fornito una deadline. L’unico modo per evitare attacchi al momento è disinstallare l’applicazione o disattivare gli aggiornamenti automatici. Inoltre, pur non essendo riferito esplicitamente a Linux e macOs, il bug potrebbe impattare anche gli update di questi due sistemi operativi.

Nel frattempo il gruppo di Redmond ha rilasciato un aggiornamento cumulativo per Windows 10 Fall Creators Update. Il pacchetto, distribuito con il codice Kb4074588, migliora la sicurezza, la stabilità e user experience della piattaforma. Il changelog completo è disponibile a questa pagina Web. Come detto, però, non ci sono tracce di una nuova versione di Skype.

 

ARTICOLI CORRELATI