Независимый ИБ-специалист Стивен Кантак (Stefan Kanthak) сообщил журналистам издания ZDNet об опасной уязвимости, которую ему удалось выявить в Skype. Проблема касается процесса обновления приложения и позволяет атакующему получить SYSTEM-привилегии в системе, что фактически равняется полной компрометации устройства.
Кантак объясняет, что использованный им вектор атаки не нов – это обычное внедрение вредоносных DLL (DLL hijacking). Данная техника позволяет обмануть приложение, предложив ему малварь вместо легитимного файла DLL. Так, злоумышленник может загрузить вредоносный DLL во временную директорию, доступную с правами пользователя, а затем присвоить вредоносу имя реально существующего файла, к примеру, UXTheme.dll.
Skype имеет свой собственный механизм обновления (%ProgramFiles%\Skype\Updater\Updater.exe), и Кантак обнаружил, что во время его работы приложение задействует исполняемый файл, который уязвим перед вышеописанным вектором атак. Хуже того, специалист заверил журналистов, что уязвимость представляет угрозу не только для Windows, и похожий вектор атак можно использовать против macOS и Linux.
Однако основанная проблема заключается в том, что Кантак уведомил компанию Microsoft о проблеме еще в сентябре 2017 года. Исследователю ответили, что специалистам Microsoft удалось воспроизвести баг, однако для его устранения потребуется слишком серьезная переработка кода приложения, и поэтому патч появится только «в составе новой версии продукта, а не в формате обновления безопасности». Фактически разработчики признали, что следует ожидать релиза нового клиента, но не патч для клиента текущего.