Skype-Sicherheitslücke angeblich seit Oktober 2017 gefixt

SkypeNoch ein kurzer Nachtrag zum Thema Sicherheitslücke in Skype. Microsoft will die kürzlich berichtete Sicherheitslücke im Skype-Updater bereits im Oktober 2017 behoben haben. Nachfolgend greife ich mal einige Aspekte zum Thema auf.


Anzeige

Worum geht es?

Ich hatte vor einigen Tagen den Blog-Beitrag Skype-Sicherheitslücke in Update bleibt vorerst ungefixt über ein Problem berichtet. In Skype gibt es im Update-Prozess des Desktop-Clients für Windows bis zur Version 7.4 eine Sicherheitslücke, die einem Angreifer ermöglichen, Zugriffsrechte auf Systemebene für das System zu erlangen.

Der Updater von Skype läuft unter dem Konto System, hat also alle Privilegien. Gleichzeitig kann der Skype-Update-Installer mit einer DLL-Hijacking-Technik ausgetrickst werden. Stefan Kanthak hatte das Problem entdeckt und dann an Microsoft gemeldet.

Die Rückmeldung, die er erhielt, lautete: Der Fehler wird vorerst durch Microsoft nicht behoben. Zack Whittaker hatte das Thema dann bei ZDNet.com aufgegriffen und Details veröffentlicht. Dies löste ein weltweites Medienecho aus.

Hintergrundinformation: Stefan Kanthak hat Details in seiner Beschreibung auf seclists.org veröffentlicht. Der Eintrag datiert vom 9. Februar 2018, weil ein Mail-Austausch mit mir den Vorgang bei Stefan wieder hochspülte. Er beschloss darauf hin wohl, dann den Vorgang öffentlich zu machen.

Microsoft: Wir haben im Oktober 2017 gepatcht

Im Microsoft Answers Skype-Forum hat Skype Programm-Manager Ellen Kilbourne jetzt Stellung bezogen. Hier ihre Antwort:


Anzeige

At Skype, we take security very seriously.

There was an issue with an older version of the Skype for Windows desktop installer – version 7.40 and lower. The issue was in the program that installs the Skype software – the issue was not in the Skype software itself. Customers who have already installed this version of Skype for Windows desktop are not affected. We have removed this older version of Skype for Windows desktop from our website skype.com.

The installer for the current version of Skype for Windows desktop (v8) does NOT have this issue, and it has been available since October, 2017.

Oder auf den kurzen Nenner gebracht: In allen Skype-Clients bis zur Version 7.40 ist die Sicherheitslücke enthalten. Im Skype for Windows Desktop Client (Version 8), der seit dem Oktober 2017 erhältlich ist, wurde die Sicherheitslücke im Installer gefixt.

Korrektur: Ursprünglich stand im Text, dass das Ganze zum 17.10.2017 gefixt worden sei. Martin Geuß machte mich darauf aufmerksam, dass das nicht stimmt. Laut diesem Blog-Beitrag kam der Fix am 30. Oktober 2017.

Meine zwei Cents

Natürlich kommen jetzt wieder die Vorwürfe an die Autoren der Beiträge: 'Ihr habt ne Story aufgebauscht, die keine ist. Und eine Sicherheitslücke war es auch keine, weil es administrative Privilegien braucht.' Mag sein, mag auch nicht sein – die Wahrheit liegt im Auge des Betrachters. Nur durch die Berichterstattung lässt sich die Sau gezielt durch's Dorf treiben.

Aber die Geschichte hat noch zwei andere Aspekte, die ich auf die Tapete bringen möchte. Geht in Richtung 'die linke Hand bei Microsoft weiß nicht, was die rechte tut'. Nur mal zum auf der Zunge zergehen lassen.

  • Der Eintrag im Microsoft Answers Skype-Forum stammt vom 14. Februar 2018. Vorher war scheinbar nicht dokumentiert, dass Skype bis zur Version 7.40 ein Problem hat.
  • Erst der Eintrag vom 9. Februar 2018 in seclists.org hat dafür gesorgt, dass Microsoft reagiert.

Aber das Ganze lässt sich noch steigern. Laut Skype-Forenbeitrag wurde Skype im Oktober 2017 auf Version 8 aktualisiert, und das Problem behoben. Stefan Kanthak hat auf seclists.org aber eine Timeline veröffentlicht.

  • Am 2. September 2017 hat Stefan Kanthak das Problem an Microsoft gemeldet und erhielt einen Tag später die Rückmeldung, dass der Fall eröffnet und untersucht werde.
  • Am 27. Oktober 2017, erhielt Kanthak die nachstehende Meldung vom Microsoft Case-Manager."The engineers provided me with an update on this case. They've reviewed the code and were able to reproduce the issue, but have determined that the fix will be implemented in a newer version of the product rather than a security update. The team is planning on shipping a newer version of the client, and this current version will slowly be deprecated. The installer would need a large code revision to prevent DLL injection, but all resources have been put toward development of the new client."
  • Am 30. Oktober kam die Skype Client-Version 8.0 heraus, in der die Sicherheitslücke gefixt wurde.

Zumindest sind wir da wohl wieder bei linker Hand, rechter Hand. Und es gibt noch eine aktuelle Rückmeldung von Blog-Leser Karl auf meinen Post bei Google+:

Die Version 8 für alles älter als Windows 10 ist doch neu. Aber updated sich nicht immer automatisch. Währenddessen will Windows Update einem noch Skype 7 unterjubeln weil es nicht erkennt das 8.x schon installiert ist. Willkommen in der Welt der fehlenden Kommunikation.

Mehr brauche ich dazu wohl nicht zu sagen. So ist ein kleiner Nachtrag doch noch zu einem längeren Blog-Beitrag mutiert. (via)

Nachtrag: In obigem Text hatte ich irrtümlich den Skype-Fix auf den 17. Oktober, statt den 30. Oktober 2017 gelegt. Ändert aber am eigentlichen Thema 'schlecht kommuniziert' nichts.

Microsoft zieht alten Skype-Client zurück

Martin hat bei Dr. Windows diesen Beitrag zudem darauf hingewiesen, dass Microsoft auf Grund der Berichterstattung den alten Skype-Client 7.40 aus dem Download-Bereich entfernt hat. Hier der Tweet, wo das thematisiert wird.

Damit dürfte dieser auch nicht mehr per Windows Update angeboten werden. Im Microsoft Update Catalog stehen noch Updates für 7.x bereit. Ergänzung: Bei onmsft.com gibt einen Artikel, wo der Download-Link für den alten Skype-Installer von Rafael Rivera noch gepostet wurde (falls das wer noch braucht).


Anzeige

Dieser Beitrag wurde unter Sicherheit, Skype abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Skype-Sicherheitslücke angeblich seit Oktober 2017 gefixt

  1. anthropos sagt:

    Manchmal fällt man eben auf die Nase beim Berichten.
    Und Wirbelsturm Katrina kam damals auch wegen der Homosexuellen, wie manche Zeitgenossen damals berichteten. Das enthielt auch etwas Wahres: Wirbelsturm und Homosexuelle und sogar Orte wurden genannt.

    Ganz so dramatisch daneben war der Bericht über Skype allgemein ja nicht, außer dass Skype allgemein genannt wurde, was nicht ganz korrekt war, aber ob nun diese Feinheit oder die Kausalität eines Wirbelsturms, wer will sich mit Feinheiten schon aufhalten?

  2. Martin Feuerstein sagt:

    Der Link zum jeweils aktuellen Windows-Installer-Paket ) funktioniert nun ebenfalls nicht mehr. Auf der stattdessen ausgelieferten Webseite gibt es einen Offline-Installer (nicht-MSI). Hier ein Vergleich zwischen "Skype Classic" (v7) und der aktuellen Version (v8): https://www.winytips.com/skype-installer-offline-full-setup/

    Weiß gar nicht mehr, wann ich Skype zuletzt wirklich benutzt habe… wird Zeit das runterzuwerfen.

    Nochmal abseits vom Technischen zum Datenschutz bei Skype: http://www.socialmediarecht.de/2017/04/28/datenschutzbehoerden-bewerten-einsatz-von-skype-und-zeitversetzten-video-interviews-in-personalauswahlverfahren-grundsaetzlich-als-unzulaessig/

  3. Alfred E. Neumann sagt:

    https://skanthak.homepage.t-online.de/skype.html enthält die Wahrheit, und nichts als die Wahrheit.
    – Mickysoft informiert die Skype-Nutzer der Version 7.x nicht;
    – der Updater dieser Version bleibt auf 7.40 hängen, mit trivial auszunutzender Sicherheitslücke;
    – ein Upgrade auf die angeblich sichere Version 8.x findet nicht statt;
    – auch über 100 Tage nach Abschluss des Falls gibt's auf Microsoft Update noch immer nur die unsichere Version 7.3.0.101, und im Microsoft Update Catalog diese sowie zwei noch ältere und ebenfalls unsichere Versionen;
    – Microsoft hatte über 100 Tage Zeit, Nutzern der Version 7.x ein Update unterzuschieben, das den angreifbaren Updater entsorgt (denn ein wirkliches Update wollen sie ja nicht liefern), oder ein Upgrade auf 8.x.

    • Günter Born sagt:

      Kurze Info: Wer den obigen Link aufruft, bekommt vermutlich eine Meldung, dass ein Virus herunter geladen wird. Über das Thema habe ich mit Stefan Kanthak vor längerer Zeit kommuniziert. Was geladen wird, ist das Eicar-Testvirus – aber auch nur, weil die Browser nicht in der Lage sind, data[:]application[/]octet-stream-Blöcke sauber zu interpretieren. Hier mein Mail-Wechsel mit Stefan – erhellend, nicht.


      > kurze Frage. Warum versucht deine Webseite
      > https : // skanthak. homepage. t-online. de/ das Eicar-Testvirus auszuliefern,
      > wenn jemand auf der Seite surft?

      Weil einige Schlangenoel-Hersteller noch immer zu bloede oder
      unfaehig sind, URLs wie
      >data:application /octet-stream,X5O!P%25%40AP%5B4%5CPZX54%28P%5E%297CC%297%7D%24EICAR-STANDARD-ANTIVIRUS-TEST-FILE!%24H%2BH*<
      zu erkennen oder zu dekodieren, knapp 20 Jahre nach Einfuehrung
      von DATA URLs: https://tools.ietf.org/html/rfc2397

      Ich verwende diese DATA URLs seit dem letzten Jahrtausend zur
      Demonstration in meinen Webseiten und habe damals fast allen
      Anbietern von Schlangenoel mehrfach demonstriert, dass ihr Zeux
      scheunentorgrosse Loecher hat und KEINERLEI Schutz bietet.

      Kopiere die o.g. URL mal in die Adresszeile ALLER Deiner Browser.
      Welche wollen dann eine 68 Byte grosse Datei speichern?

      IE und Edge machen das nicht, die interpretieren DATA URLs nicht
      ueberall: https://msdn.microsoft.com/en-us/library/cc848897.aspx

      Hilft aber nichts: die auch von Microsoft verwendete PNGlib oder
      zlib hatten in den letzten Jahren nette Loecher.

      > Hier schlägt MSE jedes Mal an, wenn ich ein Refresh mache, und
      > löscht das Eicar-Test Virus.

      Die Segnungen von nutz- und wirkungslosem Schlangenoel…

      1. erkennt MSE den Schaedling beim HTTP(S)-Transfer der Seite?

      Dann muesste er die Auslieferung der HTTP-Nutzlast, in diesem
      Fall die HTML-Seite, an den Browser unterbinden, und dieser
      duerfte NICHTS (oder nur eine Fehlermeldung) anzeigen.

      Falls der Browser die HTML-Seite dennoch anzeigt: zu spaet,
      der Browser hat den "Schaedling" bereits interpretiert, MSE
      kommt zu spaet.

      Frage #1: was passiert, wenn Du den Browser den Quelltext der
      HTML-Seite anzeigen laesst (typischerweise per
      CTRL-U)?

      Wenn das NICHT funktioniert weil MSE den "Schaedling" erkennt:
      wieso konnte der Browser die Seite anzeigen?

      Frage #2: was passiert, wenn Du den Browser den Quelltext der
      HTML-Seite speichern laesst (typischerweise per
      CTRL-S)?

      Wenn das NICHT funktioniert weil MSE den "Schaedling" erkennt:
      wieso konnte der Browser die Seite anzeigen?

      2. erkennt MSE den Schaedling (erst) im Browser-Cache?

      Dann ist es zu spaet, der Browser hat den Schaedling laengst
      (bzw. parallel zum Schreiben des Caches) verarbeitet.

      Ich koennte natuerlich auch einen RICHTIGEN Schaedling ausliefern,
      den kein Virenscanner erkennt … beispielsweise einen der auf
      < .....> gezeigten.

      Einige (aber nicht alle) Browser wollen schlau sein und laden die
      im HTML-Code per
      <head>
      <link REL="Next" HREF=…/>
      <link REL="Previous" HREF=…/>
      <link REL="Related" HREF=…/>
      </head>
      als "naechste", "vorherige" oder "verwandte" Seite angegebenen
      URLs auf Verdacht und dekodieren dort angegebene DATA URLs, ohne
      Zutun des Benutzers; wenn sie den dekodierten Inhalt dann in den
      Browser-Cache schreiben schlaegt der Virenscanner an.

  4. Seita sagt:

    Vorsicht !!!
    beim aufruf des Links von Alfred E. Neumann hat mir die Seite eversucht einen Virus zu installieren ! ! !

  5. Daniel sagt:

    Wo gibt es keine Sicherheitslücke? Wer gut genug ist kommt durch jedes System durch. Internetterrorismus wird in Zukunft ein größeres Thema sein, wie man es sich nicht vorstellen kann. Digitalisierung und Vernetzung der Autos und Gebäuden birgt zu viele Gefahren.

    • Alfred E. Neumann sagt:

      (Drei!fache) Anfängerfehler wie dieser sind vermeidbar.
      Dass nicht nur Microsofts Entwickler trotz dickster Dokumentation und "Software Development Lifecycle" solche Klöpse immer wieder einbauen und deren Tester/QA sie nicht entdecken ist ein Armutszeugnis für die gesamte Software"industrie".
      http://blog.fefe.de/?ts=a47dcd4c
      Übel ist auch, dass Klitschen wie Skype oder Mozilla eigene Installer/Updater verbrechen, statt die in Windows vorhandenen zu verwenden (denn die haben diese Anfängerfehler nicht), und dass die Idioten in Redmond Windows Update nicht öffnen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.