Jeśli komputerowa wersja Skype jest zainstalowana na komputerze z systemem Windows, jesteś narażony na naprawdę paskudny exploit. Luka w narzędziu do aktualizacji Skype'a może dać atakującym pełną kontrolę nad Twoim systemem, a Microsoft twierdzi, że w najbliższym czasie nie będzie na to poprawki.
Na szczęście można całkowicie uniknąć tego problemu, zastępując „komputerową” wersję Skype'a wersją dostępną ze sklepu Microsoft Store . Mimo wszystko to żenujące, że oprogramowanie Microsoftu ma tę podstawową słabość, a wspomniany exploit to taki, o którym Redmond wielokrotnie ostrzegał innych programistów.
Oto, na czym polega ten exploit i jak możesz upewnić się, że używasz bezpiecznej wersji Skype'a ze Sklepu Windows.
Co jest nie tak ze Skype?
Aktualizowanie oprogramowania ma zapewnić Ci bezpieczeństwo, ale jak na ironię w przypadku Skype, problemem jest aktualizacja. Dzieje się tak, ponieważ usterka nie dotyczy samego Skype'a, ale raczej narzędzia używanego przez Skype do wyszukiwania i instalowania aktualizacji. To narzędzie do aktualizacji jest podatne na hjjacking DLL, as badacz Stefan Kanthak zarysowuje :
Ten plik wykonywalny jest podatny na przechwytywanie bibliotek DLL: ładuje co najmniej UXTheme.dll z katalogu aplikacji% SystemRoot% Temp zamiast z katalogu systemowego Windows. Nieuprzywilejowany (lokalny) użytkownik, który może umieścić bibliotekę UXTheme.dll lub dowolną inną bibliotekę DLL załadowaną przez podatny plik wykonywalny w% SystemRoot% Temp, uzyskuje eskalację uprawnień do konta SYSTEM.
Zasadniczo działa Skype Biblioteki DLL z folderu Temp, do którego użytkownicy mają dostęp bez uprawnień administratora. To sprawia, że dla złych aktorów trywialne jest wyłączenie bibliotek DLL i uzyskanie kontroli na poziomie systemu nad komputerem. To rodzaj luki Microsoft specjalnie ostrzega programistów, aby tego unikali , ale wydaje się, że zespół Skype'a firmy Microsoft przegapił tę konkretną notatkę.
I jest gorzej. Microsoft powiedział Kanthakowi, że „udało się odtworzyć problem”, ale nie będzie wydawania łaty, która rozwiązałaby problem. Zamiast tego Microsoft planuje rozwiązać ten problem podczas następnej głównej wersji Skype'a - nie jest jasne, kiedy to nastąpi.
To… nie jest idealne. Na szczęście istnieje alternatywa.
Rozwiązanie: użyj wersji ze Sklepu Windows
Firma Microsoft oferuje dwie wersje Skype'a dla Windows: wersję „Desktop”, która istnieje od wieków, oraz wersję Universal Windows Platform (UWP), którą można pobrać z aplikacji Microsoft Store dołączonej do systemu Windows. Tylko wersja desktopowa jest podatna na ten konkretny exploit, ponieważ tylko wersja desktopowa używa własnego narzędzia do aktualizacji.
Microsoft od jakiegoś czasu wypycha użytkowników do wersji Skype'a w Microsoft Store: Strona pobierania Skype kieruje użytkowników np. do Sklepu. Jednak wielu użytkowników nadal ma wersję na komputery stacjonarne w swoich systemach i powinni ją odinstalować i używać wersji Store tylko wtedy, gdy chcą chronić się przed tym exploitem.
Jak możesz sprawdzić, którą wersję posiadasz? Najprostszym sposobem jest wyszukanie „Skype” w menu Start. Jeśli widzisz słowa „Zaufana aplikacja Microsoft Store” pod nazwą Skype, prawdopodobnie jesteś objęty ubezpieczeniem.
Te dwie aplikacje również wyglądają zupełnie inaczej. Oto wersja „komputerowa”:
Jeśli Twój Skype wygląda tak, jesteś podatny na exploit. W takim razie powinieneś odinstalować Skype pobierz wersję Microsoft Store .
Oto wersja Microsoft Store:
Jeśli Twój Skype wygląda tak, jesteś bezpieczny: aktualizacje tej wersji są obsługiwane za pomocą Microsoft Store, więc luka nie jest istotna.
Szkoda, że Microsoft nie tylko załatwi tę lukę, ale przynajmniej istnieje działająca wersja Skype, która jest zablokowana. I chociaż interfejs i funkcje wersji Microsoft Store będą dostosowywane, rzeczy takie jak dzwonienie i czat działają dobrze w naszych testach, nawet jeśli interfejs oferuje mniej opcji. I hej: w wersji Store nie ma brzydkich reklam, więc to plus.
