Skype

Um bug é descoberto e, dias depois, a solução vem com uma atualização de segurança. Mas, em casos excepcionais, o problema é tão complexo que é mais fácil refazer o software. Essa é a situação da Microsoft: tudo indica que uma falha no Skype que dá acesso como administrador ao sistema operacional só vai deixar de existir nas próximas versões do cliente do serviço.

A vulnerabilidade foi descoberta por um especialista em segurança chamado Stefan Kanthak e reportada à Microsoft em setembro de 2017. O problema está no instalador de atualizações do Skype para Windows, que pode ser enganado com um “sequestro de DLL” (DLL hijacking): a técnica consiste, basicamente, em fazer o instalador acessar um arquivo DLL malicioso no lugar de um legítimo e seguro.

Para tanto, o invasor deve colocar o arquivo malicioso em uma pasta temporária e renomeá-lo com o mesmo nome de um arquivo DLL legítimo. Esse arquivo pode ser modificado até por um usuário sem privilégios de administrador. O truque vai funcionar porque o instalador faz uma busca seguindo uma hierarquia de pastas. Assim, se a pasta temporária for encontrada antes, o conteúdo dela será executado.

Quando o arquivo malicioso estiver ativo, o invasor poderá instalar malwares (como um ransomware), roubar dados do usuário e apagar informações, por exemplo, tudo de maneira remota.

Kanthak decidiu divulgar o bug depois de ter recebido como resposta da Microsoft que, apesar de a companhia ter conseguido reproduzir o problema, a falha só será solucionada em uma versão futura do cliente do Skype, não em uma atualização de segurança emergencial.

No entendimento da Microsoft, há tanto código para ser reescrito que não vale corrigir a versão atual. Como não é fácil explorar a falha (é preciso acessar o computador de alguma forma para inserir a pasta temporária), a companhia decidiu direcionar todos os esforços no desenvolvimento de uma nova versão do cliente que, obviamente, incluirá a correção.

A Microsoft foi procurada. Ao Engadget, a companhia declarou que tem como política tratar problemas de baixo risco em seu programa Update Tuesday, dando a entender que a falha pode ser corrigida em um grande pacote de atualizações de segurança. Entretanto, a companhia não informou data de liberação, tampouco confirmou se usará mesmo o programa.

Embora não tenha dado detalhes, Kanthak não descarta a possibilidade de as atuais versões do Skype para macOS e Linux estarem sob risco de falhas semelhantes.

Com informações: ZDNet, The Inquirer.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Relacionados

Como usar o Skype Meet Now [Reunir Agora]
Como usar o Skype Meet Now [Reunir Agora]
Como excluir uma conta do Skype
Como excluir uma conta do Skype
Como saber se fui bloqueado no Skype
Como saber se fui bloqueado no Skype
Qual a diferença entre o Skype gratuito e o Skype for Business?
Qual a diferença entre o Skype gratuito e o Skype for Business?
Como excluir conversas do Skype
Como excluir conversas do Skype
Como descobrir o endereço IP de um contato no Skype
Como descobrir o endereço IP de um contato no Skype
Skype clássico volta a ser distribuído depois de correção de falha grave
Skype clássico volta a ser distribuído depois de correção de falha grave
Skype Meet Now realiza chamadas de vídeo sem exigir instalação
Skype Meet Now realiza chamadas de vídeo sem exigir instalação
O que é e como criar uma conta Microsoft
O que é e como criar uma conta Microsoft
Mozilla inocente: Microsoft corrige bug que fazia Firefox exigir muita CPU
Mozilla inocente: Microsoft corrige bug que fazia Firefox exigir muita CPU