Un ricercatore ha scoperto una gravissima falla nel sistema di aggiornamento di Skype, il noto client di messaggistica istantanea, VoIP e chat video realizzato da Microsoft, capace di consentire ad un hacker o ad un utente esperto di elevare i privilegi di un classico account locale ad un amministratore di sistema con pieni poteri e totale controllo dell'intero sistema operativo. Un bug di proporzioni importanti di cui Microsoft sembra essere già stata allertata ma che di fatto non potrà essere sistemato se non riscrivendo completamente il codice della piattaforma di messaggistica.

Stefan Kanthak, questo il nome del ricercatore che ha portato in evidenza il pericoloso bug su Skype Updater. Lo stesso ha scoperto come nell'aggiornamento di Skype sia presente una vulnerabilità sensibile alla tecnica del DLL hijacking, una falla che se sfruttata a dovere da chi ne sa, potrebbe permettere di ottenere l'amministrazione completa del sistema operativo e dunque la possibilità da parte del malintenzionato di ottenere ogni sorta di dato sensibile o altro ancora.

Come funziona il bug su Skype Updater?

Solitamente sappiamo come il meccanismo di aggiornamento di Skype, per impostazione predefinita, permette all'applicazione di controllare periodicamente la presenza o meno di un possibile aggiornamento avviando l'eseguibile Updater.exe utilizzando i privilegi del System. In questo caso l'account System ha i privilegi dell'utente amministratore e dunque viene utilizzato dal sistema operativo per accedere al filesystem.

In poche parole con l'avvio di Skype, l'eseguibile Updater.exe, estrae un programma (SKY.tmp e lo esegue senza darne conto all'utente nella cartella %SystemRoot%\Temp\. Proprio questo programma risulta essere completamente vulnerabile agli attacchi di malintenzionati che con qualsiasi DLL, scaricabile nella cartella temporanea, possono portare danni al sistema.

Microsoft è stata prontamente informata dal ricercatore della situazione pericolosa del proprio applicativo addirittura già durante lo scorso mese di settembre. Di fatto però il colosso di Redmond sembrerebbe bloccato dal voler realizzare una patch o sistemare la situazione in quanto per farlo si dovrebbe riscrivere praticamente da capo l'intero codice della piattaforma dell'updater di Skype e questo porterebbe via troppo tempo.

L'azienda avrebbe preferito, anziché rilasciare un update importante magari con un aggiornamento di major di Windows, indirizzare i propri interessi in una nuova e completa versione del software di messaggistica andando dunque a bypassare il problema con la riscrittura del codice. In questo caso però non è ancora stata divulgata alcuna informazione in merito ai tempi di sviluppo della nuova versione di Skype e dunque nemmeno sui tempi di rilascio della stessa. Questo significa che per gli utenti l'unica soluzione al momento per non incorrere in problematiche di sorta sembra essere quella di non utilizzare l'applicativo o bloccare gli aggiornamenti della piattaforma.