Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità in Skype Updater consente l’elevazione dei privilegi in Windows

elevazione dei privilegi  microsoft  Skype   martedì, 13 febbraio 2018

Skype è un’applicazione Microsoft di libero utilizzo che fornisce servizi di messaggistica istantanea testuale, VoIP e chat video.

Un ricercatore di sicurezza indipendente ha scoperto una grave vulnerabilità nel meccanismo di aggiornamento automatico proprietario dell’applicazione Skype installata sui sistemi Microsoft Windows.

Per impostazione predefinita, l’app Skype controlla periodicamente la presenza di aggiornamenti lanciando l’eseguibile Updater.exe (situato in “%ProgramFiles%\Skype\Updater\”) con i privilegi dell’account System. Questo account interno di Windows ha gli stessi privilegi dell’utente amministratore e viene utilizzato dal sistema operativo e dai servizi che hanno necessità di accedere al file system con controllo completo.

Una volta lanciato, Updater.exe estrae un altro programma, chiamato SKY<abcd>.tmp, nella cartella “%SystemRoot%\Temp\” e lo esegue in modalità silenziosa. Questo programma è vulnerabile ad attacchi di tipo DLL hijacking, in quanto carica almeno la DLL UXTheme.dll dalla directory in cui si trova l’eseguibile invece che dalla directory di sistema di Windows.

Un attaccante locale non privilegiato potrebbe sfruttare questa vulnerabilità per elevare i propri privilegi mediante una DLL malevola inserita nella directory “%SystemRoot%\Temp\”. Se sfruttata con successo, questa vulnerabilità può consentire l’esecuzione di codice arbitrario con i privilegi dell’account System, con conseguente compromissione totale del sistema.

Lo scopritore ha avvisato Microsoft della presenza di questa falla già a settembre del 2017. Pur avendo confermato la vulnerabilità, Microsoft ha riferito di non essere intenzionata a rilasciare un aggiornamento di sicurezza specifico, rimandando la risoluzione del problema ad una futura versione di Skype. In assenza di una soluzione da parte del produttore, seguendo una diffusa politica di vulnerability disclosure, la vulnerabilità è stata divulgata dopo 90 giorni dalla scoperta.

In attesa di un aggiornamento che risolva la vulnerabilità descritta, si suggerisce agli utenti che non ne fanno uso di rimuovere l’app Skype dal proprio sistema, se presente, o, in alternativa, di disattivare gli aggiornamenti automatici in Skype.

 

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (gennaio 2019)

9 gennaio 2019

Nella giornata dell'8 gennaio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti tra cui Windows e Edge.Leggi tutto

Grave vulnerabilità consente elevazione dei privilegi in apparati Cisco ASA

20 dicembre 2018

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità di gravità elevata nel prodotto software Cisco Adaptive Security Appliance (ASA).Leggi tutto

Microsoft rilascia aggiornamento per grave falla 0-day in Internet Explorer

20 dicembre 2018

Microsoft ha rilasciato una patch di emergenza per risolvere una vulnerabilità zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto