Skype: DLL-Hijacking-Lücke entdeckt – Fix erfordere vorerst noch zu viel Aufwand [UPDATE!]

[Update 15.02.2018: Wie mich unser Leser Paul soeben informierte, scheint an der Meldung von ZDNet nicht alles ganz korrekt zu sein. In seinen Foren informiert Microsoft aktuell darüber, dass es durchaus ein Problem mit dem Skype Desktop Installer in Version 7.40 und früher gegeben hat. Der alte Installer ist von Skype.com gelöscht und durch Version 8 (aktuell 8.15.0.4) ersetzt worden, welcher nicht von dem Fehler betroffen sein soll. Ob es sich hierbei nun wirklich um die benannte DLL-Hijacking-Lücke gehandelt hat, erfahren wir aus dem Beitrag leider nicht. Allerdings klingt die Erklärung des Problems sehr danach. Dass sich Microsoft also nicht umgehend kümmern würde, kann man in diesem Falle so also auch nicht stehen lassen.]

Ursprüngliche Meldung:

Wie der Sicherheitsforscher Stefan Kanthak berichtet, sei im aktuellen Code von Skype eine schwerwiegende Sicherheitslücke vorhanden, die es Angreifern durch sogenanntes DLL-Hijacking ermöglichen kann, auf einem Zielrechner Systemrechte zu erlangen und somit vollständige Zugriffsrechte zu bekommen. Einen Patch hat Microsoft allerdings derzeit nicht parat, dies erfordere zum aktuellen Zeitpunkt angeblich zu viel Aufwand.

Nachdem Kanthak jene Lücke bereits im September 2017 gemeldet hatte, teilte Microsoft diesem mit, dass man die Lücke vermutlich erst mit einer neuen Skype-Version schließen werde, anstatt nun zwischendurch ein Sicherheitsupdate zu verteilen. Das Problem verbirgt sich wohl im separat laufenden Skype-Updater. Der Angreifer kann hier per DLL-Hijacking aktiv werden. Dabei schiebt er dem Zielrechner eine modifizierte Datei in einem temporären Ordner zu, auf den auch das Opfer Zugriff hat.

Im „Idealfall“ wird die ursprüngliche DLL von Skype nicht mehr aufgefunden, sondern lediglich die modifizierte Version. Das Programm erkennt den Unterschied nicht, der Angreifer hat das System gekapert. DLL-Hijacking sei dabei allerdings kein reines Windows-Problem, auch Linux- und macOS-Nutzer könnten unter Umständen auf dem Wege attackiert werden.

ZDNet

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Blogger, stolzer Ehemann und passionierter Dad aus dem Geestland. Quasi-Nachbar vom Caschy (ob er mag oder nicht ;D ), mit iOS und Android gleichermaßen glücklich und außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

6 Kommentare

  1. Die gesamte Systemsicherheit kann kompromittiert werden aber Microsoft ist eine sofortige Lösung zu aufwendig, tja, was soll man dazu noch sagen, außer vielleicht: Sofort löschen und im besten Fall eine Alternative suchen. 😉

    Ergänzung: Das Malicious Software Removal Tool ist wohl auch betroffen..

  2. Benutze die App 🙂 Da wird es wohl besser sein.

  3. Tja, so zwingt MS die user doch auf die unbeliebte 8er Version umzusteigen. Bin auch jemand der von der 7er nicht weg wollte. Ich schmeiß es erst ganz runter, danke MS, das erleichtert mir die Entscheidung…

  4. Um diese „Lücke“ auszunutzen, bedarf es eines physischen Zugriffs + Admin-Rechte auf dem betroffenen PC.
    Und wenn man diese erst einmal hat, gibt es garantiert einfachere Möglichkeiten Unsinn anzustellen, anstatt Dlls hin und her zu kopieren.
    Ich kann MS in diesem Fall ausnahmsweise verstehen, zumal es die aktuelle Version nicht einmal betrifft.

  5. @wayned:
    Lies Dir mal den Link im Artikel durch:
    „Once installed, Skype uses its own proprietary update mechanism
    instead of Windows/Microsoft Update: Skype periodically runs
    „%ProgramFiles%\Skype\Updater\Updater.exe“
    under the SYSTEM account.
    When an update is available, Updater.exe copies/extracts another
    executable as „%SystemRoot%\Temp\SKY.tmp“ and executes it
    using the command line
    „%SystemRoot%\Temp\SKY.tmp“ /QUIET“

    und dann später

    „An unprivileged (local) user who is able to place UXTheme.dll or“

    heißt für mich, Adminrechte und physischer Zugriff sind nicht erforderlich.

    Allerdings ist entfernen der alten Version der erste Schritt, der zweite wäre eine Skype interne Benachrichtigung, wenn man die 7er noch hat (was durchaus schon der Fall sein kann).

    • Wie willst du denn ohne physischen Zugriff, die DLLs kopieren?
      Du hast es doch selbst zitiert.
      „local user who is able to place UXTheme.dll or any other .dll…“
      So und jetzt versuch mal als normaler User, die „UXTheme.dll or any other .dll“ ohne Admin/Systemrechte nach „%SystemRoot%\Temp\“ zu kopieren…
      Schau dir doch einfach mal die Berechtigungen für „Temp“ an..
      Wie ich schon sagte: wenn dir das möglich sein sollte, hast du eh Zugriff auf den kompletten Rechner und kannst dir diesen Esoterik-Kram schenken.

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.