Se la versione desktop di Skype è sul tuo computer Windows, sei vulnerabile a un exploit davvero brutto. Un difetto nello strumento di aggiornamento di Skype potrebbe dare agli aggressori il pieno controllo del tuo sistema e Microsoft afferma che presto non ci sarà una soluzione.
Fortunatamente, puoi evitare completamente il problema sostituendo la versione “desktop” di Skype con quella disponibile da Microsoft Store. Tuttavia, è imbarazzante per il software di Microsoft avere un punto debole di questo fondamentale, e l'exploit in questione è uno che Redmond ha avvertito più volte gli altri sviluppatori.
Ecco cosa funziona questo exploit e come puoi assicurarti di utilizzare la versione sicura di Windows Store di Skype.
Cosa c'è che non va in Skype?
L'aggiornamento del software dovrebbe proteggerti, ma ironicamente nel caso di Skype, l'aggiornamento è il problema. Questo perché il difetto qui non è con Skype stesso, ma piuttosto lo strumento che Skype usa per trovare e installare gli aggiornamenti. Questo strumento di aggiornamento è vulnerabile all'hjjacking DLL, come sottolinea il ricercatore Stefan Kanthak:
Questo eseguibile è vulnerabile al dirottamento della DLL: carica almeno UXTheme.dll dalla sua directory dell'applicazione% SystemRoot% Temp anziché dalla directory di sistema di Windows. Un utente non privilegiato (locale) in grado di posizionare UXTheme.dll o una qualsiasi delle altre DLL caricate dall'eseguibile vulnerabile in% SystemRoot% Temp ottiene l'escalation del privilegio sull'account SYSTEM.
Fondamentalmente, Skype esegue DLL dalla cartella Temp, a cui gli utenti possono accedere senza i diritti di amministratore. Questo rende banale per i cattivi attori cambiare le DLL e ottenere il controllo a livello di sistema sul tuo computer. È il tipo di vulnerabilità che Microsoft avvisa specificamente gli sviluppatori di evitare, ma il team Skype di Microsoft sembra aver perso quel particolare promemoria.
E peggiora. Microsoft ha detto a Kanthak che “sono stati in grado di riprodurre il problema”, ma non sarà emessa una patch emessa per risolvere il problema. Al contrario, Microsoft prevede di risolvere il problema durante la prossima versione principale di Skype: non è chiaro quando sarà così.
Non è … l'ideale. Per fortuna, c'è un'alternativa.
La soluzione: utilizzare la versione di Windows Store
Microsoft offre due versioni di Skype per Windows: la versione “Desktop”, che esiste da anni, e la versione UWP (Universal Windows Platform), che puoi scaricare dall'app Microsoft Store in bundle con Windows. Solo la versione desktop è vulnerabile a questo particolare exploit, perché solo la versione desktop utilizza il proprio strumento di aggiornamento.
Microsoft sta spingendo gli utenti alla versione di Skype di Microsoft Store da un po 'di tempo: la pagina di download di Skype indirizza gli utenti allo Store, ad esempio. Ma molti utenti hanno ancora la versione desktop sui loro sistemi e dovrebbero disinstallarla e utilizzare la versione Store solo se vogliono essere al sicuro da questo exploit.
Come puoi sapere quale versione hai? Il modo più semplice è cercare “Skype” nel menu di avvio. Se vedi le parole “App di Microsoft Store attendibile” sotto il nome di Skype, probabilmente sei coperto.
Le due app sembrano anche completamente diverse. Ecco la versione “desktop”:
Se il tuo Skype è simile a questo, sei vulnerabile all'exploit. È necessario disinstallare Skype, quindi scaricare la versione di Microsoft Store.
Ecco la versione di Microsoft Store:
Se Skype appare così, sei al sicuro: gli aggiornamenti per questa versione vengono gestiti tramite Microsoft Store, quindi la vulnerabilità non è rilevante.
È un peccato che Microsoft non risolva questa vulnerabilità, ma almeno esiste una versione funzionante di Skype bloccata. E mentre l'interfaccia e le funzionalità della versione di Microsoft Store saranno adeguate, cose come le chiamate e la chat funzionano bene nei nostri test, anche se l'interfaccia offre meno opzioni. Ehi: non ci sono brutte pubblicità nella versione dello Store, quindi è un vantaggio.
