Un bug scovato nel codice del celebre sistema di messaggistica impone una profonda riscrittura del client. Ma niente panico
C’è un bug dentro Skype, forse il sistema di messaggistica e chiamate VoIP più famoso del mondo. Un bug complesso, che richiederà una riscrittura del codice sorgente che genera il client del software in questione: un lavoro che prenderà del tempo, mancano al momento indicazioni su quando sarà tappato il buco. Nel frattempo, però, ci sono delle soluzioni alternative. E se è vero che si tratta di un problema grave, è altrettanto vero che come tutti i bug c’è bisogno di contestualizzarne la portata nella vita reale.
La questione della DLL pirata
Stefan Kanthak, esperto di sicurezza e scopritore del bug, si è accorto circa un anno fa che c’era un problema banale ma significativo nell’updater di Skype (che non utilizza Windows Update bensì un sistema interno): il software è vulnerabile a una tecnica chiamata “DLL hijacking”, ovvero si può inserire nel pacchetto una libreria modificata che spalanca le porte del PC su cui è installata a quasi qualsiasi tipo di minaccia.
Quello che può capitare è che, se il sistema viene infettato, la DLL conceda accesso all’attaccante con i privilegi di livello “system”: parliamo di qualcosa che va oltre l’administrator, in pratica si guadagna accesso completo al sistema operativo in ogni sua parte. Un’ipotesi devastante sul piano della sicurezza: nel momento in cui un malintenzionato disponesse di questo tipo di privilegi potrebbe compiere di tutto sulla macchina infettata.
Il problema pare risieda nel modo in cui è stato scritto il codice dell’updater: Kanthak lo definisce “errore da principiante” facendo riferimento alla documentazione fornita dalla stessa Microsoft per spiegare come evitare questo tipo di rischi (e a un problema analogo già svelato nel 2015), ma non scende troppo nel dettaglio riguardo la modalità con cui effettuare l’attacco proof-of-concept.
Don’t panic
Si tratta di un problema serio, pare lo abbia ammesso la stessa Microsoft che ha anche detto che sarà risolto in una delle prossime versioni del software. La portata di questo bug è tale che una macchina infettata con questa tecnica sarebbe di fatto completamente alla mercé di chi compie il misfatto. Ma, come spesso capita, ci sono delle attenuanti che non dovrebbero far preoccupare troppo chi ha Skype installato sul proprio PC.
Innanzi tutto, l’attacco funziona o in locale – ovvero se c’è qualcuno davanti al vostro PC, con già l’accesso effettuato: se è così, forse l’ultima cosa di cui preoccuparsi è che installi una DLL pirata – o su una macchina che sia stata già compromessa e su cui si possa impiantare la libreria modificata da remoto. Dunque su un PC sano e al riparo da sguardi indiscreti, non ci dovrebbero essere problemi.
Un’altra operazione da fare, sulle macchine Windows 10, è rimuovere Skype e re-installarlo dal Windows Store: l’app UWP, quella distribuita tramite il marketplace di Redmond, è immune da questo tipo di bug visto che è diversa da quella scaricata dal sito di Skype. Il client Skyper for Business, quello che viene fornito con Office 365 per le aziende, non dovrebbe essere vulnerabile a questo tipo di attacco.
Adottando queste precauzioni si dovrebbe stare piuttosto tranquilli. Probabile che Microsoft ora sia al lavoro per rivedere in modo significativo il codice di Skype e renderlo più simile a quello della versione UWP, oppure per consentire l’aggiornamento tramite Windows Update ed eliminare alla radice la causa della vulnerabilità.
