Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in Skype Updater consente l’elevazione dei privilegi in Windows

elevazione dei privilegi  microsoft  Skype   martedì, 13 febbraio 2018

Skype è un’applicazione Microsoft di libero utilizzo che fornisce servizi di messaggistica istantanea testuale, VoIP e chat video.

Un ricercatore di sicurezza indipendente ha scoperto una grave vulnerabilità nel meccanismo di aggiornamento automatico proprietario dell’applicazione Skype installata sui sistemi Microsoft Windows.

Per impostazione predefinita, l’app Skype controlla periodicamente la presenza di aggiornamenti lanciando l’eseguibile Updater.exe (situato in “%ProgramFiles%\Skype\Updater\”) con i privilegi dell’account System. Questo account interno di Windows ha gli stessi privilegi dell’utente amministratore e viene utilizzato dal sistema operativo e dai servizi che hanno necessità di accedere al file system con controllo completo.

Una volta lanciato, Updater.exe estrae un altro programma, chiamato SKY<abcd>.tmp, nella cartella “%SystemRoot%\Temp\” e lo esegue in modalità silenziosa. Questo programma è vulnerabile ad attacchi di tipo DLL hijacking, in quanto carica almeno la DLL UXTheme.dll dalla directory in cui si trova l’eseguibile invece che dalla directory di sistema di Windows.

Un attaccante locale non privilegiato potrebbe sfruttare questa vulnerabilità per elevare i propri privilegi mediante una DLL malevola inserita nella directory “%SystemRoot%\Temp\”. Se sfruttata con successo, questa vulnerabilità può consentire l’esecuzione di codice arbitrario con i privilegi dell’account System, con conseguente compromissione totale del sistema.

Lo scopritore ha avvisato Microsoft della presenza di questa falla già a settembre del 2017. Pur avendo confermato la vulnerabilità, Microsoft ha riferito di non essere intenzionata a rilasciare un aggiornamento di sicurezza specifico, rimandando la risoluzione del problema ad una futura versione di Skype. In assenza di una soluzione da parte del produttore, seguendo una diffusa politica di vulnerability disclosure, la vulnerabilità è stata divulgata dopo 90 giorni dalla scoperta.

In attesa di un aggiornamento che risolva la vulnerabilità descritta, si suggerisce agli utenti che non ne fanno uso di rimuovere l’app Skype dal proprio sistema, se presente, o, in alternativa, di disattivare gli aggiornamenti automatici in Skype.

 

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (maggio 2018)

9 maggio 2018

Nella giornata dell'8 maggio 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui due vulnerabilità 0-day in Windows.Leggi tutto

Microsoft rilascia aggiornamento per vulnerabilità critica nella libreria Windows Host Compute Service Shim

3 maggio 2018

Microsoft ha rilasciato lo scorso 2 maggio un aggiornamento di sicurezza che risolve una vulnerabilità critica nella libreria Windows Host Compute Service Shim che potrebbe causare l'esecuzione di codice arbitrario.Leggi tutto

Microsoft rilascia nuovi aggiornamenti contro gli attacchi Spectre alle CPU Intel

27 aprile 2018

Microsoft ha rilasciato un aggiornamento per Windows 10 e Windows Server 2016 che abilita le mitigazioni software contro gli attacchi Spectre di tipo 2.Leggi tutto