È un bug gravissimo quello scoperto dal ricercatore Stefan Kanthak in Skype, l’app per le chiamate video e vocali da alcuni anni proprietà di Microsoft. In pratica Kanthak ha scoperto che nell’aggiornamento è presente una vulnerabilità sensibile alla tecnica del DLL hijacking, peraltro funzionante anche su Mac OS e Linux. La falla, se sfruttata, consentirebbe all’attaccante di elevare al massimo i privilegi di un normale account locale, di fatto trasformandolo in una sorta di “super amministratore di sistema” con pieni poteri e la facoltà di prendere il totale controllo dell’intero sistema operativo.
Facile capire dunque che, una volta dentro, il malintenzionato potrebbe fare qualsiasi cosa, prendere in ostaggio il PC tramite un ransomware o anche cancellare o sottrarre dati e file personali sensibili.
In pratica qualsiasi malintenzionato può scaricare una DLL dannosa in una cartella temporanea accessibile all’utente, rinominandola in una DLL esistente che può essere modificata da un utente senza privilegi, come ad esempio uxtheme.dll. La DLL dannosa sarà quindi trovata dall’app quando quest’ultima cercherà quella determinata libreria.
Microsoft è stata informata del bug in questione già dallo scorso mese di settembre dallo stesso Kanthak, ma il gigante del software avrebbe risposto dicendo che correggere il bug avrebbe richiesto una massiccia riscrittura del codice dell’updater e che quindi, anche se i tecnici fossero stati in grado di riprodurre il problema, il fix non sarebbe stato disponibile come semplice aggiornamento di sicurezza, ma avrebbe richiesto più tempo, arrivando ad esempio in una futura major release.
Per questo Microsoft, sempre stando a quanto dichiarato da Kanthak, avrebbe preferito concentrare tutte le risorse disponibili sulla realizzazione di un client completamente nuovo, che però non si sa attualmente quando potrebbe essere pronto. Contattata dai colleghi di ZDNet, Microsoft ha preferito non commentare.