Se la versione desktop di Skype è sul tuo computer Windows, sei vulnerabile a un brutto exploit. Un difetto nello strumento di aggiornamento di Skype potrebbe dare agli aggressori il pieno controllo del tuo sistema e Microsoft afferma che non ci sarà una soluzione a breve.
Fortunatamente, puoi evitare completamente il problema sostituendo la versione "desktop" di Skype con quella disponibile da Microsoft Store . Tuttavia, è imbarazzante per il software di Microsoft avere una debolezza così fondamentale, e l'exploit in questione è quello che Redmond ha avvertito più volte altri sviluppatori.
Ecco cosa funziona questo exploit e come puoi assicurarti di utilizzare la versione sicura di Skype di Windows Store.
Cosa c'è di sbagliato in Skype?
L'aggiornamento del software dovrebbe mantenerti al sicuro, ma ironicamente nel caso di Skype, l'aggiornamento è il problema. Questo perché il difetto qui non è con Skype stesso, ma piuttosto lo strumento che Skype utilizza per trovare e installare gli aggiornamenti. Questo strumento di aggiornamento è vulnerabile all'hjjacking della DLL, come delinea il ricercatore Stefan Kanthak :
Questo eseguibile è vulnerabile al dirottamento della DLL: carica almeno UXTheme.dll dalla directory dell'applicazione% SystemRoot% Temp invece dalla directory di sistema di Windows. Un utente (locale) senza privilegi che è in grado di inserire UXTheme.dll o una qualsiasi delle altre DLL caricate dall'eseguibile vulnerabile in% SystemRoot% Temp ottiene l'escalation dei privilegi all'account SYSTEM.
Fondamentalmente, Skype funziona DLL dalla cartella Temp, a cui gli utenti possono accedere senza diritti di amministratore. Ciò rende banale per i malintenzionati cambiare le DLL e ottenere il controllo a livello di sistema sul computer. È il tipo di vulnerabilità Microsoft avverte specificamente gli sviluppatori di evitare , ma il team Skype di Microsoft sembra essersi perso quel particolare memo.
E peggiora. Microsoft ha detto a Kanthak che "sono stati in grado di riprodurre il problema", ma non verrà rilasciata una patch per risolvere il problema. Microsoft prevede invece di risolvere il problema durante la prossima importante versione di Skype: non è chiaro quando sarà.
Non è ... l'ideale. Per fortuna, c'è un'alternativa.
La soluzione: usa la versione di Windows Store
Microsoft offre due versioni di Skype per Windows: la versione "Desktop", che esiste da secoli, e la versione UWP (Universal Windows Platform), che puoi scaricare dall'app Microsoft Store in bundle con Windows. Solo la versione desktop è vulnerabile a questo particolare exploit, perché solo la versione desktop utilizza il proprio strumento di aggiornamento.
Microsoft sta spingendo gli utenti alla versione di Microsoft Store di Skype per un po ': il Skype download page indirizza gli utenti allo Store, ad esempio. Ma molti utenti hanno ancora la versione desktop sui loro sistemi e dovrebbero disinstallarla e utilizzare la versione Store solo se vogliono stare al sicuro da questo exploit.
Come puoi sapere quale versione hai? Il modo più semplice è cercare "Skype" nel menu di avvio. Se vedi le parole "App attendibile di Microsoft Store" sotto il nome di Skype, probabilmente sei coperto.
Anche le due app hanno un aspetto completamente diverso. Ecco la versione "desktop":
Se il tuo Skype ha questo aspetto, sei vulnerabile all'exploit. Dovresti disinstallare Skype, quindi scarica la versione di Microsoft Store .
Ecco la versione di Microsoft Store:
Se il tuo Skype ha questo aspetto, sei al sicuro: gli aggiornamenti per questa versione vengono gestiti tramite Microsoft Store, quindi la vulnerabilità non è rilevante.
È un peccato che Microsoft non si limiti a correggere questa vulnerabilità, ma almeno esiste una versione funzionante di Skype che è bloccata. E mentre l'interfaccia e le funzionalità della versione di Microsoft Store saranno un aggiustamento, cose come la chiamata e la chat funzionano bene nei nostri test, anche se l'interfaccia offre meno opzioni. E hey: non ci sono brutte pubblicità nella versione Store, quindi questo è un vantaggio.
