Grave bug in Skype: serve una riscrittura del codice

Una notizia che di certo non avremmo voluto sapere. Skype, l’applicazione di chiamate e videochiamate più utilizzata, è vittima di un bug molto pericoloso.

Scoperta da Stefan Kanthak, un ricercatore di sicurezza, la falla sarebbe sensibile all’attacco DLL hijacking. Microsoft era a conoscenza di questa vulnerabilità già da settembre, ma solo ora è stata resa nota. Vediamo di che cosa si tratta.

Cos’è un DLL hijacking?

Questo attacco si basa sul fatto che alcune applicazioni, per poter runnare, cercano e caricano delle librerie dinamiche, chiamate Dynamic Loading Library. Poiché molti programmi non utilizzano un path specifico per caricarle, bensì effettuano una ricerca del file .dll necessario, un attaccante può posizionare il suo file nelle cartelle in cui sa che il programma andrà a cercare la libreria.

Uno schema esemplificativo di un attacco dll hijacking. Credits: virusbulletin.com

La libreria viene ricercata dal programma seguendo un ordine specifico di locazioni. Conoscendo questo ordine, l’attaccante può inserire il .dll falso in una delle cartelle visitate prima di quella contenente l’effettiva libreria. In questo modo, viene eseguita la “libreria” dell’attaccante, che eseguirà codice malevolo.

Supponiamo che il path di ricerca della libreria sia il seguente:

a) . <— directory corrente, dove esegue il programma. Ha la priorità più alta
b) \windows
c) \windows\system32
d) \windows\syswow64 <— cartella con priorità più bassa

e che la libreria necessaria si trovi nella locazione (d). Un attaccante può inserire il suo file .dll in (a), (b) o (c), in modo che venga trovato ed eseguito prima della libreria corretta.

Windows, quando trova un file con il nome corretto, non controlla se è quello giusto. Semplicemente, lo esegue avendolo identificato come quello ricercato dal programma.

Skype, l’ultima vittima

La lista dei programmi vulnerabili a questo attacco è lunga, e Skype è solo uno degli ultimi. La falla consentirebbe all’attaccante di ottenere i privilegi di amministratore del computer, prendo di fatto il controllo completo.

Il tweet di Zac Whittaker, uno degli autori dell’area security del famoso magazine ZDNet.

La vulnerabilità, in questo caso in particolare, si trova nel sistema di aggiornamento del software. L’eseguibile Updater.exe si occupa di controllare la presenza di update di Skype, e lo fa con i privilegi di amministratore. Esso esegue un programma chiamato sky.tmp, che è stato scoperto da Kanthak essere vulnerabile al dll hijacking.

La risposta di Microsoft

Un semplice aggiornamento non sarà in grado di risolvere il problema. È questo che ha comunicato Microsoft a Kanthank, aggiungendo che il fix necessiterebbe di una massiccia riscrittura del codice.

In particolare, il problema potrà essere risolto soltanto con una futura major release. Sui tempi però, Microsoft non ha ancora comunicato nulla. Arriverà quindi un client totalmente nuovo, che ovvierà a questo problema.

Per il momento, l’unico accorgimento da prendere è quello di stare attenti ai software che installiamo, scegliendo sempre quelli ufficiali, e di fare attenzione agli allegati che scarichiamo.

Published by
Marina Londei