Bug no Skype só pode ser corrigido se o aplicativo for reescrito
Um bug é descoberto e, dias depois, a solução vem com uma atualização de segurança. Mas, em casos excepcionais, o problema é tão complexo que é mais fácil refazer o software. Essa é a situação da Microsoft: tudo indica que uma falha no Skype que dá acesso como administrador ao sistema operacional só vai deixar de existir nas próximas versões do cliente do serviço.
A vulnerabilidade foi descoberta por um especialista em segurança chamado Stefan Kanthak e reportada à Microsoft em setembro de 2017. O problema está no instalador de atualizações do Skype para Windows, que pode ser enganado com um “sequestro de DLL” (DLL hijacking): a técnica consiste, basicamente, em fazer o instalador acessar um arquivo DLL malicioso no lugar de um legítimo e seguro.
Para tanto, o invasor deve colocar o arquivo malicioso em uma pasta temporária e renomeá-lo com o mesmo nome de um arquivo DLL legítimo. Esse arquivo pode ser modificado até por um usuário sem privilégios de administrador. O truque vai funcionar porque o instalador faz uma busca seguindo uma hierarquia de pastas. Assim, se a pasta temporária for encontrada antes, o conteúdo dela será executado.
Quando o arquivo malicioso estiver ativo, o invasor poderá instalar malwares (como um ransomware), roubar dados do usuário e apagar informações, por exemplo, tudo de maneira remota.
Kanthak decidiu divulgar o bug depois de ter recebido como resposta da Microsoft que, apesar de a companhia ter conseguido reproduzir o problema, a falha só será solucionada em uma versão futura do cliente do Skype, não em uma atualização de segurança emergencial.
No entendimento da Microsoft, há tanto código para ser reescrito que não vale corrigir a versão atual. Como não é fácil explorar a falha (é preciso acessar o computador de alguma forma para inserir a pasta temporária), a companhia decidiu direcionar todos os esforços no desenvolvimento de uma nova versão do cliente que, obviamente, incluirá a correção.
A Microsoft foi procurada. Ao Engadget, a companhia declarou que tem como política tratar problemas de baixo risco em seu programa Update Tuesday, dando a entender que a falha pode ser corrigida em um grande pacote de atualizações de segurança. Entretanto, a companhia não informou data de liberação, tampouco confirmou se usará mesmo o programa.
Embora não tenha dado detalhes, Kanthak não descarta a possibilidade de as atuais versões do Skype para macOS e Linux estarem sob risco de falhas semelhantes.
Com informações: ZDNet, The Inquirer.