Microsoft skończył z klasyczną wersją Skype, zamiast załatać w niej lukę
Odkryta kilka dni temu w mechanizmie aktualizacji Skype poważnalukabezpieczeństwa przyniosła nieoczekiwane konsekwencje dlamiłośników tego komunikatora. Microsoft nie tylko nie będzie jejnaprawiał (co miało być niezwykle trudne i wiązać się zkoniecznością przepisania dużej ilości kodu), ale w ogólerezygnuje z klasycznej desktopowej wersji Skype. Została onawycofana ze strony programu.
Przypomnijmy: od kilku lat Microsoft oferuje Skype jako opcjonalnąaktualizację poprzez Windows Update, jednak później komunikatorsam się aktualizuje za pomocą swojego własnościowego mechanizmu,zaszytego w pliku Updater.exe. Jak odkrył niemiecki ekspert StefanKanthak, komunikator ten regularnie uruchamia Updater.exe znajwyższymi uprawnieniami SYSTEM, a jeśli pojawi się aktualizacja,to zostaje ona skopiowana do folderu z plikami tymczasowymi iuruchomiona w sposób niezauważalny dla użytkownika.
Pobrany tymczasowy plik aktualizacji jest jednak podatny na atakporwaniaDLL – ładuje ze swojego tymczasowego folderu plik UXTheme.dll,a czasem i inne biblioteki DLL, zamiast robić to z folderu Windows.Działający z normalnymi uprawnieniami użytkownik, który jest wstanie umieścić w folderze tymczasowym taką bibliotekę, jest wstanie uruchomić tak kod z uprawnieniami SYSTEM.
Odkrywca luki upubliczniłją 9 lutego, po tym, jak 27 października zeszłego rokuMicrosoft poinformował go, że co prawda udało się odtworzyćproblem, ale nie będzie wydawał łatki dla podatnego klienta Skype,ponieważ zamierza wprowadzić poprawkę jedynie do jego nowej wersji, a tę klasyczną będzie stopniowo się wycofywało.Instalator wymagałby daleko idących poprawek, tymczasem wszystkiezasoby zostały przesunięte na budowę nowego klienta.
Microsoft nie skomentował upublicznienia – aż do teraz, i toteż tylko w pośredni sposób. Menedżer Skype’a Ellen Kilbournena łamach forum MS Answers poinformowała,że w instalatorze Skype dla wersji 7.40 oraz wcześniejszychwystępował taki problem, i dlatego wersja te została wycofana zestrony projektu. Wersja aktualna, tj. Skype8.x, dostępna na stronie projektu od października zeszłegoroku, jest odporna na opisany wyżej atak.
Czy zatem nie ma o czym mówić? Niekoniecznie. Przede wszystkimtrzeba pamiętać, że Skype 7.40.0.151 był ostatnią natywną(win32) wersją Skype’a na klasyczne Windows. Ta nowa wersja(obecnie Skype8.15.0.4) to po prostu webowa aplikacja uruchomiona na platformieElectron/Chromium. Zkolei Skype dostępne przez sklep Microsoft Store to jeszcze cośinnego, oznaczona numerem wersji 12.1803.279.0 aplikacja uniwersalna(UWP), przeznaczona na Windows 10. Zarówno wersja „elektronowa”jak i uniwersalna są zubożone względem oryginalnej aplikacjidesktopowej i nie zdobyły większej sympatii wśród użytkowników(a może nawet wręcz przeciwnie). Trudno więc je uznać zauaktualnienia wersji 7.40.
Stara wersja Skype (wciąż przecież działająca w sieci tegokomunikatora) zainstalowana jest zapewne na dziesiątkach milionówpecetów. Czy nie stanowi zagrożenie dla ich bezpieczeństwa?Nie wydając aktualizacji, Microsoft tym samymwskazuje cyberprzestępcom potencjalny wektor ataku, który w pewnych warunkach mógłby pozwolić złośliwemu oprogramowaniu na uzyskanie najwyższychuprawnień i przez to trwałej obecności w zainfekowanych systemach.
Samo zniknięcie starego klienta ze stron Skype trudnowięc uznać za cokolwiek innego, niż próbę zamiecenia tegozagrożenia pod dywan.
