Scoperto un gravissimo bug su Skype: sviluppatori chiedono riscrittura del sorgente

INFORMAZIONI SCHEDA
di

Il ricercatore Stefan Kanthak ha scoperto un gravissimo bug per il servizio di VoIP di Microsoft, Skype, al punto che è arrivato a chiedere la riscrittura completa del codice dell'applicazione. Secondo lo stesso Kanthak, l'aggiornamento per l'applicazione sarebbero stato riscontrato vulnerabile alla tecnica DDL hijacking, anche su MacOS e Linux.

La falla, se sfruttata, potrebbe permettere ad un normale utente di ottenere i privilegi completi di super admin del sistema operativo, che potrebbe controllare completamente.

In parole povere, un qualsiasi utente malintenzionato potrebbe scaricare una DDL modificata per inserirla in una cartella temporanea dell'applicazione, come ad esempio UXTheme.ddl. A questo punto Skype dal suo canto cercherebbe quella determinata libreria, rendendo quindi sfruttabile la falla.

Una volta installato, infatti, Skype utilizza il proprio updater integrato per tenere aggiornato il software. Quando viene eseguito il programma di aggiornamento, utilizza un altro file eseguibile, che è vulnerabile alla tecnica di DDL hijacking. Kanthak, in una mail ricevuta da ZDNET, sostiene che l'attacco è facilmente eseguibile, e per questo motivo ha chiesto a Microsoft la completa riscrittura del codice dell'applicazione. Il ricercatore ha spiegato, fornendo due esempi, come uno uno script o malware possa trasferire a distanza una DDL dannosa nella cartella temporanea di cui vi abbiamo parlato prima.

La cosa particolarmente preoccupante è rappresentata dal fatto che, sebbene "Windows offra diversi modi per farlo", questo sistema può essere applicato anche alla versione Mac e Linux dell'applicazione.

Kanthak ha informato Microsoft del bug lo scorso Settembre, ma la compagnia di Satya Nadella ha risposto che la correzione del bug richiederebbe una massiccia riscrittura del codice dell'update, il che vuol dire che il fix non può arrivare attraverso un semplice aggiornamento dell'applicazione. Probabilmente, quindi, la società americana provvederà ad implementarlo in qualche futura major release.

ZDNET ha provato a contattare direttamente la società per ottenere qualche comunicato ufficiale sulla questione, ma non è arrivata alcuna risposta.