Díra ve „starém Skypu“. Ten porušuje doporučení stanovená Microsoftem, který chybu neopraví

Skype porušuje bezpečnostní doporučení stanovená Microsoftem, výsledkem čehož může být ovládnutí počítače nekalými živly. Microsoft chybu ve starším klientu opravit nehodlá.

2

Před týdnem byl zveřejněn report o slabém místě v zabezpečení Skypu. Díru našel bezpečnostní výzkumník Stefan Kanthak a jejím specifikem je, že náprava by byla velmi obtížná. (Ne ovšem tak jako před pár týdny odhalené chyby v procesorech.)

Instalační program Skypu může být napaden technikou injekce knihovny DLL. Tímto způsobem může dojít ke spuštění škodlivého kódu, přičemž konečným výsledkem může být situace, kdy útočník či útočnice získá přístup k systému a může si s ním dělat prakticky cokoli.

Jak může dojít k ovládnutí počítače?

K problému dochází při aktualizaci komunikátoru. Pakliže aktualizační mechanismus Skypu najde novou verzi, aktualizační program zkopíruje či rozbalí do systémového adresáře s dočasnými soubory jiný spustitelný soubor. Ten spustí pomocí příkazu. Zmíněný spustitelný soubor se pokusí načíst knihovnu UXTheme.dll.

Načítá ji ovšem z vlastního aplikačního adresáře místo systémové složky. Podle výzkumníka lze i v uživatelském účtu bez správcovského oprávnění knihovnu (UXTheme.dll, případně jinou) nahradit upravenou verzí. Knihovnu pak načte spustitelný soubor pro aktualizaci Skypu, což otevírá dveře pro útok. Je možné získat přístup k systémovému účtu. Aktualizační program totiž používá účet System.

Ilustrační foto

Stefan Kanthak přitom upozorňuje na to, že sám Microsoft ve své obsáhlé dokumentaci nabádá, aby takový postup, jaký ukazuje Skype při aktualizaci, s ohledem na možnost zneužití aplikacemi využíván nebyl. Je ironické, že pravidla porušuje domácí produkt.

Je třeba podotknout, že aktualizační mechanismus mohl Microsoft zdědit. (Co si budeme nalhávat, i např. některé části kódu Windows jsou dekády staré.) Podobně Microsoftem popsaná pravidla porušuje jeho jiný produkt, a sice Nástroj pro odstranění škodlivého softwaru, jak poukazuje Kanthak.

Co na to Microsoft?

Začátkem loňského září bezpečnostní výzkumník o objeveném problému informoval Microsoft.  Na konci října od něj získal odpověď. Zmíněný instalační program sloužící pro aktualizaci Skypu by podle jeho zjištění vyžadoval rozsáhlou revizi. Musela by tedy být přepsána nemalá část kódu. Microsoft uvedl, že chybu neopraví, protože se soustředí na nového klienta, který již tímto problémem trpět nebude.

Tento klient by měl obsahovat nebezpečný aktualizační program
Tento klient by měl obsahovat nebezpečný aktualizační program

Kromě nedostatku lidí – firma by musela zdroje přesunout z vývoje nového klienta – své rozhodnutí Redmondští dále zdůvodnili tak, že stávající klient bude pomalu odcházet. Což pochopit lze. Nakolik je ale takové rozhodnutí ve výsledku rozumné? Primární otázkou v tomto ohledu je, jak rychle se podaří nasazovat nového klienta na úkor starého.

Co s tím můžeme dělat?

Konkrétní informace nemáme, lze se ale dovtípit, že tím novým klientem je Skype 8. To je ten „barevný Skype“, jenž přišel o velkou část dřívější funkcionality a byl oficiálně vydán na konci října. Podotýkám, že nikoli shodou okolností poslední „starý Skype“ vyšel rovněž na konci loňského října a jedná se o verzi 7.40. Sám ji používám a automatická aktualizace na novějšího klienta u mne neproběhla.

Což ani nemohla, neboť používám nejnovější verzi Windows 10, kde již Skype 8 oficiálně nefunguje. Pro tento systém Microsoft počítá s klientem postaveným na platformě UWP, jenž je dostupný přes Microsoft Store. Domnívám se, že Microsoft „starý Skype“ v podobných případech, k nimž patří ten můj, odebere při upgradu na některé z dalších vydání Desítek.

Pokud je můj odhad správný, tento klient by popsaným neduhem trpět neměl
Pokud je můj odhad správný, tento klient by popsaným neduhem trpět neměl

Respektive ho nahradí klientem univerzálním. Může to být teď na jaře, případně např. na podzim. O tom ale oficiálně dosud nepadlo ani slovo. Udělat to nakonec ani nemusí. Jisté je jen to, že Skype 7 je výběhový klient a dříve či později přestane se sítí komunikovat. Pak budete případně muset provést ručně instalaci nového klienta.

Závěr

V ohrožení by dnes počítače se Skypem 7 být teoreticky neměly. Situaci chápu tak, že k načtení upravené knihovny dochází tehdy, když je nalezena aktualizace. Protože se nového vydání Skypu 7 zřejmě už nedočkáme, nemělo by se k ošemetné situaci vůbec schylovat.

Pokud ovšem chcete mít klidnější spaní, v závislosti na používané verzi Windows si nainstalujte Skype 8, případně Skype pro Windows 10. Krajním řešením je odinstalace Skypu a používání webové verze.

Mimochodem, objevený problém je solidním argumentem pro univerzální aplikace, resp. pro aplikace umístěné do Storu, kde se o aktualizace stará sám Store. Jistě, k podobným bezpečnostním rizikům docházet nemusí, dokud ale bude sám systém navržený tak, že nechá prostor pro obcházení pravidel, budeme se někdy s podobnými případy setkávat. Zjevně ani není spolehnutí na značku vývojáře.

Ohodnoťte tento článek!

2 KOMENTÁŘE

  1. „kdy útočník či útočnice získá přístup k systému“ ……to je jak pěst na oko, víte, že jste jediný v republice kdo tohle používá?
    Jak jste na to přišel?
    PS: jinak velice kvalitní články, až na to prznění naší mateřštiny.