Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in Skype Updater consente l’elevazione dei privilegi in Windows

elevazione dei privilegi  microsoft  Skype   martedì, 13 febbraio 2018

Skype è un’applicazione Microsoft di libero utilizzo che fornisce servizi di messaggistica istantanea testuale, VoIP e chat video.

Un ricercatore di sicurezza indipendente ha scoperto una grave vulnerabilità nel meccanismo di aggiornamento automatico proprietario dell’applicazione Skype installata sui sistemi Microsoft Windows.

Per impostazione predefinita, l’app Skype controlla periodicamente la presenza di aggiornamenti lanciando l’eseguibile Updater.exe (situato in “%ProgramFiles%\Skype\Updater\”) con i privilegi dell’account System. Questo account interno di Windows ha gli stessi privilegi dell’utente amministratore e viene utilizzato dal sistema operativo e dai servizi che hanno necessità di accedere al file system con controllo completo.

Una volta lanciato, Updater.exe estrae un altro programma, chiamato SKY<abcd>.tmp, nella cartella “%SystemRoot%\Temp\” e lo esegue in modalità silenziosa. Questo programma è vulnerabile ad attacchi di tipo DLL hijacking, in quanto carica almeno la DLL UXTheme.dll dalla directory in cui si trova l’eseguibile invece che dalla directory di sistema di Windows.

Un attaccante locale non privilegiato potrebbe sfruttare questa vulnerabilità per elevare i propri privilegi mediante una DLL malevola inserita nella directory “%SystemRoot%\Temp\”. Se sfruttata con successo, questa vulnerabilità può consentire l’esecuzione di codice arbitrario con i privilegi dell’account System, con conseguente compromissione totale del sistema.

Lo scopritore ha avvisato Microsoft della presenza di questa falla già a settembre del 2017. Pur avendo confermato la vulnerabilità, Microsoft ha riferito di non essere intenzionata a rilasciare un aggiornamento di sicurezza specifico, rimandando la risoluzione del problema ad una futura versione di Skype. In assenza di una soluzione da parte del produttore, seguendo una diffusa politica di vulnerability disclosure, la vulnerabilità è stata divulgata dopo 90 giorni dalla scoperta.

In attesa di un aggiornamento che risolva la vulnerabilità descritta, si suggerisce agli utenti che non ne fanno uso di rimuovere l’app Skype dal proprio sistema, se presente, o, in alternativa, di disattivare gli aggiornamenti automatici in Skype.

 

Notizie correlate

Vulnerabilità 0-day in Microsoft Edge

20 febbraio 2018

È stata resa nota una vulnerabilità zero-day in Microsoft Edge che può causare l'esecuzione di codice arbitrario nel contesto del processo del browser.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (febbraio 2018)

14 febbraio 2018

Microsoft ha rilasciato il 13 febbraio 2018 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti, di cui molte critiche in Internet Explorer, Edge, Windows e Office.Leggi tutto

Microsoft rilascia un aggiornamento per disabilitare le mitigazioni per gli attacchi Spectre

29 gennaio 2018

Microsoft ha rilasciato un aggiornamento di emergenza per Windows che disabilita le patch precedentemente rilasciate per mitigare gli attacchi Spectre di tipo 2.Leggi tutto