Skype-updatemechanisme kwetsbaar voor dll-aanval
Het updatemechanisme van Skype op Windows is kwetsbaar voor een dll-aanval waardoor een aanvaller in het ergste geval volledige controle over een systeem kan krijgen, zo waarschuwt onderzoeker Stefan Kanthak op de Full Disclosure-mailinglist.
Bij een dll-aanval wordt er een kwaadaardig dll-bestand uit een lokale directory geladen, in plaats van een systeemmap. Windows-applicaties maken gebruik van dll-bestanden om te functioneren. Deze dll-bestanden bevinden zich in een systeemmap van Windows. Het is een bekend probleem dat sommige applicaties niet eerst in de systeemmap kijken, maar in de lokale directory waar de applicatie zich bevindt. Een aanvaller die in deze directory een kwaadaardig dll-bestand weet te krijgen kan zo het bestand laten uitvoeren en de computer infecteren.
Hoewel Skype onderdeel van Microsoft is en ook als optionele update door Windows wordt aangeboden, maakt de voip-applicatie gebruik van een eigen updatemechanisme. Deze updater, die met systeemrechten draait, gebruikt een ander uitvoerbaar bestand om de update uit te voeren. Dit uitvoerbare bestand bevindt zich in een tijdelijke (temp) map. Wanneer een aanvaller in deze map zijn kwaadaardige dll-bestand weet te krijgen, zal de Skype-updater die uitvoeren. Op deze manier is het ook mogelijk voor een lokale gebruiker zonder rechten om systeemrechten te krijgen.
Kanthak, die in het verleden veel meer van dergelijke dll-aanvallen ontdekte, waarschuwde Microsoft in september vorig jaar. Eind oktober liet Microsoft weten dat de oplossing van het probleem in een nieuwere versie van Skype zal worden verwerkt en er geen aparte beveiligingsupdate komt. De onderzoeker heeft nu zijn bevindingen openbaar gemaakt.
Dat patent betrof een methode om voip apps te kunnen tappen.
Als we het nieuws met waarschuwing van vandaag bekijken, namelijk de kans dat je systeem wel kan worden overgenomen met misbruik van dll, dan is het mogelijk ook goed je te realiseren dat diezelfde fabrikant met interesse in het breken van gebruikersprivacy en van voip apps met haar skype software ook jouw systeem kan overnemen.
Maar dat hoeft ze waarschijnlijk niet eens te doen om toch kennis te nemen van de inhoud van wat aan data langskomt.
Zorgen om kwetsbaarheden in een update mechanisme van een app waarvan de werkelijke veiligheid met recht toch al bediscussieerd kan worden.
Wel mooi dat als je erachter komt en naar extra adem loopt te happen, de oude grijze baas inmiddels hopelijk een snufje heeft bedacht om teveel aan ongewenste co2 wat te verminderen.
Dat is dan weer een relatief geluk bij een ongeluk.
Zou M$ ooit nog full disclosure gaan met wat zij werkelijk doet met de privedata van al haar skype gebruikers?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Adviseur compliance
Ministerie van Buitenlandse Zaken
Er gebeurt ontzettend veel bij ons Cyber Security Center. We zijn over de hele wereld 24 uur per dag actief, nemen risico’s voor verbeteringen en zijn continu op zoek naar vernieuwing. Als adviseur compliance ga jij aan de slag in dit dynamische centrum. Zo bescherm je Nederland tegen privacydreigingen en cybercrimes.
Word cyberspecialist bij Defensie
Naast het land, de zee, de lucht en de ruimte is cyberspace het vijfde werkgebied waarin Defensie actief is. Zo kun je bijvoorbeeld aan de slag als big data engineer, app-specialist of data scientist binnen de Joint Sigint Cyber Unit (JSCU) van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).
Technical Security Trainer
Ben je net als de rest van ons team bovenmatig geïnteresseerd in security en vind je het leuk om je hacker mindset en security-skills over te dragen? Dan ben je bij ons aan het juiste adres!
Are you ready for a challenge?