[English]In Skype gibt es im Update-Prozess eine Sicherheitslücke, die einem Angreifer ermöglichen, Zugriffsrechte auf Systemebene für das System zu erlangen. Der Fehler wird vorerst durch Microsoft nicht behoben. [Ergänzung: Es gibt eine gefixte Version.]
Anzeige
Ich gestehe, ich habe es etwas verpennt. Stefan Kanthak fragte mich bereits vorige Woche in einer Mail 'Soll ich mit Skype weitermachen und dessen zahlreichen Sicherheitsluecken, inkl. der in deren proprietaerem Updater, der unter SYSTEM-Konto laeuft?'. Da momentan sehr viele Themen auf mich einprasseln, und ich vieles hier auf Halde liegen habe, bliebt dieser Wink mit dem Zaunpfahl unbeantwortet.
Skype-Updater mit Sicherheitslücken
Zack Whittaker hat es aber bei ZDNet.com aufgegriffen und Details veröffentlicht. Wie Stefan Kanthak in der oben zitierten Mail herausfand, läuft der Update von Skype unter dem Konto System, hat also alle Privilegien. Gleichzeitig kann der Skype-Update-Installer mit einer DLL-Hijacking-Technik ausgetrickst werden.
Über diese Technik ist es einem Angreifer möglich, einer Anwendung bösartigen Code anstelle der korrekten Bibliothek unterzuschieben. Der Angreifer kann eine bösartige DLL in einen vom Benutzer zugänglichen temporären Ordner herunterladen. Danach ist diese DLL so umzubenennen, dass sie einen Namen einer, von einem nicht privilegierten Benutzer änderbaren, DLL wie UXTheme.dll trägt. Der DLL-Hijacking-Angriff funktioniert, weil Windows die bösartige DLL zuerst findet, wenn die Anwendung nach der benötigten DLL sucht.
Kommen wir nun zu Skype. Nach der Installation verwendet Skype einen eigenen integrierten Updater, um die Software auf dem neuesten Stand zu halten. Dieser Updater verwendet aber eine andere ausführbare Datei, um das Update selbst auszuführen. Diese Anwendung ist aber anfällig für DLL-Hijacking.
Anzeige
Kanthak gibt an, dass Windows mehrere Möglichkeiten bereitstellt, um solche Angriffe auszuführen (obwohl DLL-Hijacking nicht auf Windows beschränkt ist). Mittels Kommandozeilenbefehlen kann ein Angreifer per Script oder eine Malware eine manipulierte DLL in den temporären Ordnern transferieren und entsprechend umbenennen.
Wird dann der Skype-Update gestartet, um nach Updates zu suchen, aktiviert er das Hilfsprogramm und dieses bekommt per DLL-Hijacking die manipulierte DLL unterschoben. Da die Prozesse unter dem Konto System laufen, besitzen sie alle Zugriffsrechte auf das System. Sie können Dateien löschen, manipulieren, verschlüsseln (Ransomware) oder auch Daten abziehen.
Microsoft kann nicht reagieren
An dieser Stelle wird die Geschichte schmutzig. Laut ZDNet.com hat Stefan Kanthak Microsoft im September 2017 über den Bug informiert. Die Rückmeldung von Microsoft liest sich in etwa wie folgt: Microsoft konnte das Sicherheitsproblem reproduzieren. Um das Problem zu beheben, ist eine größere Codeänderung am Update-Mechanismus erforderlich. Das klappt aber wohl nicht in Form eines Sicherheitsupdates.
Microsoft konzentriert momentan wohl alle Ressourcen in die Entwicklung eines neuen Skype-Clients. Es wird also dauern, bis diese gravierende Sicherheitslücke geschlossen wird. Bleibt die Frage, ob Skype erneut Ziel von Malware-Angriffen wird, um über diese Sicherheitslücke Schadsoftware in Windows einzuschleusen? Microsoft hat auf eine Anfrage von ZDNet keinen Kommentar abgegeben.
Nachtrag: Stefan Kanthak hat das Ganze bei seclists.orgeingestellt. Es gibt eine gefixte Version 8 von Skype. Ich habe mal ein paar Details im Beitrag Skype-Sicherheitslücke angeblich seit Oktober 2017 gefixt zusammen getragen.
Anzeige
1. Wenn ich Skype nicht nutzen kann, suche ich mir eine Alternative.
2. Habe ich mich an diese Alternative gewöhnt, warum sollte ich zurück zu Skype wechseln wollen?
Hallo Microsoft, merkt ihr was? Kriegt ihr noch was mit???
Vermutlich liegt der Fokus auf der App aus dem Microsoft Store oder Google Play Store oder Apple App Store.
Das muss aber nichts heißen, vielleicht wird der klassische Client auch weitergeführt, allerdings mit der gewissen Portion Gemütlichkeit. Alternativ könnte Skype aufgegeben werden, aber das ist für einen anderen Tag.
Letztlich kann Microsoft nahelegen, dass man eben das neueste System und die App nutzen soll, also dass das Problem verschuldet ist vom Nutzer selber.
Dazu kommt, dass Skype längst nicht mehr das ist, was es mal war, und so Viele dürften davon nicht betroffen sein, viele Nutzer sind längst weitergezogen wie bei vielen anderen Produkten von Microsoft.
Die letzten Nutzer der Windows-Handys haben auch letztens wieder einen Tritt bekommen, weil ihr Handy von Bing-Karten geblockt wird inzwischen.
Bei Bing Maps war Microsoft so bescheuert, die Birds Eye View MASSIVST zu verschlechtern.
Was denken die sich eigentlich dabei?
Warum behalten die die Dinge, die sie von Google Maps (positiv) unterscheiden, nicht bei?
Ich verwende die MSI-Version des Skype-Installers: https://get.skype.com/go/getskype-msi (hier wird die jeweils aktuelle Version angeboten, ist jedoch nur per Orca/InstEd einsehbar). Per Transform-Datei ist das Auto-Update deaktiviert, es gibt dann auch keinen Dienst oder geplanten Task für ein solches Update.
Das Laden von DLLs aus dem Anwendungsverzeichnis oder einem anderen Verzeichnis kann doch auch verhindert werden… gabs da nicht mal eine Update oder eine Gruppenrichtlinie, um das zu konfigurieren? Finde den entsprechenden Beitrag grad nicht wieder :-(
Danke Martin für die Erinnerung, ich werde diesen Ansatz mal aufgreifen.
Das wurde gestern auch auf heise.de thematisiert. https://www.heise.de/security/meldung/Microsoft-findet-Sicherheitspatch-fuer-Skype-zu-aufwendig-3969324.html
Die Sicherheitslücke ist eigentlich keine, meiner Meinung nach. Ein potentieller Angreifer muss mit Admin-Rechten eine DLL austauschen. Wenn er das kann, ist sowieso alles zu spät.
AUTSCH!
Der c't-Schreiberling ist völlig ahnungslos und merkbefreit, und Deine Meinung solltest Du nicht öffentlich äussern: jeder Benutzer kann (nur mit den eigenen Benutzerrechten) neue Dateien und Verzeichnisse in C:\Windows\Temp anlegen und hat anschliessend Vollzugriff auf diese.
Und Microsofts "offizielle" Aussage ist eine dummdreiste Lüge, die jeder Windows-Benutzer innerhalb von 10 Sekunden entlarven kann: das "neue" Installationsprogramm ist genauso kaputt und trivial angreifbar wie das vorherige.
Danke für deine Meinung.
Nichtsdestotrotz kann man ohne Admin-Rechte in dem Ordner keine (fremden) Dateien austauschen.