Si la versión de escritorio de Skype está en su computadora con Windows, es vulnerable a un exploit realmente desagradable. Una falla en la herramienta de actualización de Skype podría darles a los atacantes un control total sobre su sistema, y Microsoft dice que no habrá una solución en el corto plazo.
Afortunadamente, puede evitar el problema por completo reemplazando la versión de "escritorio" de Skype por la disponible de Microsoft Store . Aún así, es vergonzoso que el propio software de Microsoft tenga una debilidad tan fundamental, y el exploit en cuestión es uno sobre el que Redmond ha advertido a otros desarrolladores varias veces.
Esto es lo que funciona este exploit y cómo puede asegurarse de que está utilizando la versión segura de Skype de la Tienda Windows.
¿Qué le pasa a Skype?
Se supone que actualizar el software te mantiene seguro, pero, irónicamente, en el caso de Skype, la actualización es el problema. Esto se debe a que la falla aquí no está en Skype en sí, sino en la herramienta que usa Skype para buscar e instalar actualizaciones. Esta herramienta de actualización es vulnerable al hjjacking de DLL, ya que el investigador Stefan Kanthak describe :
Este ejecutable es vulnerable al secuestro de DLL: carga al menos UXTheme.dll de su directorio de aplicaciones% SystemRoot% Temp en lugar del directorio de sistema de Windows. Un usuario sin privilegios (local) que puede colocar UXTheme.dll o cualquiera de los otros archivos DLL cargados por el ejecutable vulnerable en% SystemRoot% Temp obtiene la escalada de privilegios a la cuenta SYSTEM.
Básicamente, Skype funciona DLLs desde la carpeta Temp, a la que los usuarios pueden acceder sin derechos de administrador. Esto hace que sea trivial para los malos actores cambiar las DLL y obtener el control del nivel del sistema sobre su computadora. Es el tipo de vulnerabilidad Microsoft advierte específicamente a los desarrolladores que eviten , pero el equipo de Skype de Microsoft parece haber pasado por alto ese memo en particular.
Y se pone peor. Microsoft le dijo a Kanthak que "pudieron reproducir el problema", pero que no emitirá un parche para resolver el problema. En cambio, Microsoft planea resolver el problema durante la próxima versión importante de Skype; no está claro cuándo será.
Eso ... no es lo ideal. Afortunadamente, existe una alternativa.
La solución: use la versión de la tienda de Windows
Microsoft ofrece dos versiones de Skype para Windows: la versión de "escritorio", que ha existido durante años, y la versión de la Plataforma universal de Windows (UWP), que puede descargar de la aplicación Microsoft Store incluida con Windows. Solo la versión de escritorio es vulnerable a este exploit en particular, porque solo la versión de escritorio usa su propia herramienta de actualización.
Microsoft ha estado empujando a los usuarios a la versión de Skype de Microsoft Store durante un tiempo: Página de descarga de Skype dirige a los usuarios a la Tienda, por ejemplo. Pero muchos usuarios todavía tienen la versión de escritorio en sus sistemas, y deben desinstalarla y solo usar la versión de la Tienda si quieren mantenerse a salvo de este exploit.
¿Cómo puedes saber qué versión tienes? La forma más sencilla es buscar "Skype" en el menú de inicio. Si ve las palabras "Aplicación de confianza de Microsoft Store" debajo del nombre de Skype, probablemente esté cubierto.
Las dos aplicaciones también se ven completamente diferentes. Aquí está la versión de "escritorio":
Si tu Skype se ve así, eres vulnerable al exploit. Deberías desinstalar Skype, luego descargar la versión de Microsoft Store .
Aquí está la versión de Microsoft Store:
Si su Skype se ve así, está seguro: las actualizaciones para esta versión se manejan usando Microsoft Store, por lo que la vulnerabilidad no es relevante.
Es lamentable que Microsoft no se limite a parchear esta vulnerabilidad, pero al menos hay una versión funcional de Skype que está bloqueada. Y aunque la interfaz y las características de la versión de Microsoft Store serán un ajuste, cosas como las llamadas y el chat funcionan bien en nuestras pruebas, incluso si la interfaz ofrece menos opciones. Y bueno: no hay anuncios desagradables en la versión Store, así que eso es una ventaja.
