Skype: DLL-Hijacking-Lücke entdeckt – Fix erfordere vorerst noch zu viel Aufwand [UPDATE!]

 

[Meldung vom 15.02.2018: Wie mich unser Leser Paul soeben informierte, scheint an der Meldung von ZDNet nicht alles ganz korrekt zu sein. In seinen Foren informiert Microsoft aktuell darüber, dass es durchaus ein Problem mit dem Skype Desktop Installer in Version 7.40 und früher gegeben hat. Der alte Installer ist von Skype.com gelöscht und durch Version 8 (aktuell 8.15.0.4) ersetzt worden, welcher nicht von dem Fehler betroffen sein soll. Ob es sich hierbei nun wirklich um die benannte DLL-Hijacking-Lücke gehandelt hat, erfahren wir aus dem Beitrag leider nicht. Allerdings klingt die Erklärung des Problems sehr danach. Dass sich Microsoft also nicht umgehend kümmern würde, kann man in diesem Falle so also auch nicht stehen lassen.]

 

[Update vom 01.03.2018: Tatsächlich kontaktierte mich nun der im Ursprungsartikel genannte Sicherheitsforscher Stefan Kanthak persönlich und wies darauf hin, dass es sich bei der Annahme, dass Microsoft bereits etwas gegen die vor langer Zeit gemeldete Sicherheitslücke unternommen hat, um eine Fehlannahme handelt. In einer Erklärung vom 09.02. dieses Jahres schreibt er wie folgt:

„Hi @ll,

since about two or three years now, Microsoft offers Skype as
optional update on Windows/Microsoft Update.

JFTR: for Microsoft’s euphemistic use of „update“ see
<http://seclists.org/fulldisclosure/2018/Feb/17>

Once installed, Skype uses its own proprietary update mechanism
instead of Windows/Microsoft Update: Skype periodically runs
„%ProgramFiles%\Skype\Updater\Updater.exe“
under the SYSTEM account.
When an update is available, Updater.exe copies/extracts another
executable as „%SystemRoot%\Temp\SKY<abcd>.tmp“ and executes it
using the command line
„%SystemRoot%\Temp\SKY<abcd>.tmp“ /QUIET

This executable is vulnerable to DLL hijacking: it loads at least
UXTheme.dll from its application directory %SystemRoot%\Temp\
instead from Windows‘ system directory.

An unprivileged (local) user who is able to place UXTheme.dll or
any of the other DLLs loaded by the vulnerable executable in
%SystemRoot%\Temp\ gains escalation of privilege to the SYSTEM
account.“

„The attack vector is well-known and well-documented as CAPEC-471:
<https://capec.mitre.org/data/definitions/471.html>

Microsoft published plenty advice/guidance to avoid this beginner’s
error: <https://msdn.microsoft.com/en-us/library/ff919712.aspx>,
<https://technet.microsoft.com/en-us/library/2269637.aspx>,
<https://support.microsoft.com/en-us/help/2389418/secure-loading-of-libraries-to-prevent-dll-preloading-attacks>
and
<https://blogs.technet.microsoft.com/srd/2014/05/13/load-library-safely/>
… which their own developers and their QA but seem to ignore!

See <https://bugs.chromium.org/p/project-zero/issues/detail?id=440>
for the same vulnerability in another Microsoft product!

stay tuned
Stefan Kanthak

Timeline:
~~~~~~~~~

2017-09-02 vulnerability report sent to vendor

2017-09-03 reply from vendor: „MSRC case 40550 opened“

2017-09-06 notification from vendor’s case manager: „report passed
to product group for investigation“

2017-10-27 reply from vendor’s case manager:

„The engineers provided me with an update on this case.
They’ve reviewed the code and were able to reproduce
the issue, but have determined that the fix will be
implemented in a newer version of the product rather
than a security update. The team is planning on shipping
a newer version of the client, and this current version
will slowly be deprecated. The installer would need a
large code revision to prevent DLL injection, but all
resources have been put toward development of the new
client.“

2018-02-09 report published

Tatsächlich wird über den Microsoft Updater weiterhin eine von 2015 stammende Version 7.3 von Skype angeboten, die sich beispielsweise bei einer Neuinstallation eines Systems installiert, obwohl Microsoft selbst angibt, dass im Falle einer Neuinstallation die „aktuellste Version“ von Skype über den Updater installiert werde: „To make it simple and fast for Skype users to upgrade to the latest version of Skype for Windows, we have integrated Skype into Microsoft Update.“ Da es sich bei Version 7.3 noch immer um die gefährdete Version des Programms handelt, sollten Nutzer jene Update-Paket (KB2876229) tunlichst meiden und stattdessen lieber die aktuellste Version direkt von Skype.com beziehen.

Ursprüngliche Meldung:

Wie der Sicherheitsforscher Stefan Kanthak berichtet, sei im aktuellen Code von Skype eine schwerwiegende Sicherheitslücke vorhanden, die es Angreifern durch sogenanntes DLL-Hijacking ermöglichen kann, auf einem Zielrechner Systemrechte zu erlangen und somit vollständige Zugriffsrechte zu bekommen. Einen Patch hat Microsoft allerdings derzeit nicht parat, dies erfordere zum aktuellen Zeitpunkt angeblich zu viel Aufwand.

Nachdem Kanthak jene Lücke bereits im September 2017 gemeldet hatte, teilte Microsoft diesem mit, dass man die Lücke vermutlich erst mit einer neuen Skype-Version schließen werde, anstatt nun zwischendurch ein Sicherheitsupdate zu verteilen. Das Problem verbirgt sich wohl im separat laufenden Skype-Updater. Der Angreifer kann hier per DLL-Hijacking aktiv werden. Dabei schiebt er dem Zielrechner eine modifizierte Datei in einem temporären Ordner zu, auf den auch das Opfer Zugriff hat.

Im „Idealfall“ wird die ursprüngliche DLL von Skype nicht mehr aufgefunden, sondern lediglich die modifizierte Version. Das Programm erkennt den Unterschied nicht, der Angreifer hat das System gekapert. DLL-Hijacking sei dabei allerdings kein reines Windows-Problem, auch Linux- und macOS-Nutzer könnten unter Umständen auf dem Wege attackiert werden.

ZDNet

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Benjamin Mamerow

Blogger, stolzer Ehemann und passionierter Dad aus dem Geestland. Quasi-Nachbar vom Caschy (ob er mag oder nicht ;D ), mit iOS und Android gleichermaßen glücklich und außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Die gesamte Systemsicherheit kann kompromittiert werden aber Microsoft ist eine sofortige Lösung zu aufwendig, tja, was soll man dazu noch sagen, außer vielleicht: Sofort löschen und im besten Fall eine Alternative suchen. 😉

    Ergänzung: Das Malicious Software Removal Tool ist wohl auch betroffen..

  2. Benutze die App 🙂 Da wird es wohl besser sein.

  3. Tja, so zwingt MS die user doch auf die unbeliebte 8er Version umzusteigen. Bin auch jemand der von der 7er nicht weg wollte. Ich schmeiß es erst ganz runter, danke MS, das erleichtert mir die Entscheidung…

  4. Um diese „Lücke“ auszunutzen, bedarf es eines physischen Zugriffs + Admin-Rechte auf dem betroffenen PC.
    Und wenn man diese erst einmal hat, gibt es garantiert einfachere Möglichkeiten Unsinn anzustellen, anstatt Dlls hin und her zu kopieren.
    Ich kann MS in diesem Fall ausnahmsweise verstehen, zumal es die aktuelle Version nicht einmal betrifft.

  5. @wayned:
    Lies Dir mal den Link im Artikel durch:
    „Once installed, Skype uses its own proprietary update mechanism
    instead of Windows/Microsoft Update: Skype periodically runs
    „%ProgramFiles%\Skype\Updater\Updater.exe“
    under the SYSTEM account.
    When an update is available, Updater.exe copies/extracts another
    executable as „%SystemRoot%\Temp\SKY.tmp“ and executes it
    using the command line
    „%SystemRoot%\Temp\SKY.tmp“ /QUIET“

    und dann später

    „An unprivileged (local) user who is able to place UXTheme.dll or“

    heißt für mich, Adminrechte und physischer Zugriff sind nicht erforderlich.

    Allerdings ist entfernen der alten Version der erste Schritt, der zweite wäre eine Skype interne Benachrichtigung, wenn man die 7er noch hat (was durchaus schon der Fall sein kann).

    • Wie willst du denn ohne physischen Zugriff, die DLLs kopieren?
      Du hast es doch selbst zitiert.
      „local user who is able to place UXTheme.dll or any other .dll…“
      So und jetzt versuch mal als normaler User, die „UXTheme.dll or any other .dll“ ohne Admin/Systemrechte nach „%SystemRoot%\Temp\“ zu kopieren…
      Schau dir doch einfach mal die Berechtigungen für „Temp“ an..
      Wie ich schon sagte: wenn dir das möglich sein sollte, hast du eh Zugriff auf den kompletten Rechner und kannst dir diesen Esoterik-Kram schenken.

      • Wehret den Ahnungslosen says:

        Si tacuisses!
        Die Berechtigungen von %SystemRoot%\Temp\ erlauben jedem Mitglied der Gruppe „Benutzer“, neue Dateien und Verzeichnisse anzulegen, auf die sie anschliessend Vollzugriff haben.
        Und selbstverständlich sind alle Installationsprogramme von Skype defekt: alle erlauben die Rechteausweitung vom Standardbenutzer zum Administrator oder direkt zu SYSTEM.

        • „Die Berechtigungen von %SystemRoot%\Temp\ erlauben jedem Mitglied der Gruppe „Benutzer“, neue Dateien und Verzeichnisse anzulegen“

          Vielleicht unter XP/$whatever.
          Aber garantiert nicht unter Win10, dort hat der Benutzer genau gar keine Rechte.
          Wenn du als Benutzer versuchst Dateien anzulegen, wird das Admin Passwort abgefragt.
          Rechte siehe Screenshot:
          https://gyazo.com/e9efb3aee697737fd28f3fceed7131a0.png

          • Wehret den Ahnungslosen says:

            Si tacuisses!
            Nein, Rechte anschauen genügt nicht, Du musst die angezeigten Rechte auch verstehen wollen.

            %comspec% /K copy %comspec% %systemroot%\temp
            funktioniert auf allen Versionen von Windows mit Benutzerrechten, ebenso
            %comspec% /K %systemroot%\system32\cacls.exe %systemroot%\temp
            oder
            %comspec% /K %systemroot%\system32\icacls.exe %systemroot%\temp

            Übrigens: Ahnungslose ignorieren auch die einfache Tatsache, dass Microsoft Update auf Windows 10 Skype 7.x nicht anbietet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Deinen Besuch stimmst Du dem zu.