Skype: Microsoft lässt schwere Sicherheitslücke vorerst offen - wegen zu viel Aufwand

  • Allgemein
  • Skype: Microsoft lässt schwere Sicherheitslücke vorerst offen - wegen zu viel Aufwand

    Vorsicht bei Updates
    Skype: Microsoft lässt schwere Sicherheitslücke vorerst offen - wegen zu viel Aufwand
    Der Updater für Skype hat eine schwere Sicherheitslücke. Microsoft ist seit September informiert, kann aber „wegen zu viel Aufwand“ vorerst kein Bugfix liefern.

    Cyberkriminelle können Schadcode in den Updater von Skype einschleusen und erhalten so die Möglichkeit, einen PC vollständig aus der Ferne übernehmen zu können. Der Sicherheitsforscher Stefan Kanthak entdeckte dieses Leck und meldete es im September an Microsoft. Mittlerweile sind mehr als die üblichen drei Monate vergangen, die ein Unternehmen Zeit für ein Bugfix bekommt, bevor Informationen zu einem Sicherheitsleck publik gehen.

    Skype nutzt ein eigenes Programm, um den Messenger-Client auf dem aktuellen Stand zu halten. Per „DLL-Hijacking“ (Dynamic Link Library) – also dem Übernehmen von Programmbibliotheken – können Cyberkriminelle das Update-Tool nun austricksen. Anstatt die richtigen Bibliotheken von Microsoft für das Update zu laden, erhält der unwissende Nutzer Schadcode.

    Mit diesem kann der Angreifer Systemrechte erlangen. Systemrechte sind Administratorrechten übergeordnet – Kanthak beschreibt den Benutzerlevel „System“ gegenüber zdnet.com mit den Worten „Administrator auf Steroiden“. Mit Systemrechten haben Nutzer einen tieferen Zugang ins Betriebssystem und können entsprechend noch mehr Schaden anrichten.

    Laut Kanthak ließe sich das Skype-Sicherheitsproblem sehr einfach ausnutzen. Er demonstrierte es mit Hilfe von zwei Kommandobefehlen, die ein Skript oder eine Malware zum Download einer entsprechenden, bösartigen DLL-Datei bewegten. Windows biete hier eine sehr große Oberfläche. Doch DLL-Hijacking sei nicht nur auf Windows beschränkt. Mac OS und Linux sind dafür ebenso anfällig.

    Wie reagiert Microsoft?

    Laut Microsoft sind die eigenen Entwickler in der Lage, derartige Angriffe zu reproduzieren. Allerdings ist die Wahrscheinlichkeit für einen Sicherheitspatch für aktuelle Versionen gering. Microsoft sagte Kanthak, dass eine Behebung des Sicherheitslecks einer „riesigen Überarbeitung des Codes“ bedürfe. Eher würden nötige Bugfixes in einer neuen Version von Skype zu finden sein. Immerhin verspricht Microsoft gerade, mit „allen Ressourcen“ an einem solchen Update zu arbeiten. Wann es erscheint, bleibt abzuwarten.

    Was tun?

    Wer an einem Rechner ohne Admin-Rechte sitzt, könnte sich sicher wähnen. Das ist aber nicht der Fall, wenn später ein Administrator zwecks genereller Updates auch eine Skype-Aktualisierung zulässt, die zuvor manipuliert wurde. Der einzig sichere Weg - ohne auf Skype verzichten zu müssen – wäre, Updates manuell von der offiziellen Webseite zu laden, Skype dort gleich online oder den Skype-Download auf pc-magazin.de zu nutzen. Wir halten die Version nach Möglichkeit immer auf dem aktuellen Stand.

    14.2.2018 von The-Khoa Nguyen



    Update:


    Skypes zu aufwändige DLL-Lücke: Laut Entwicklern längst gepatcht [Update]
    Der Skype-Updater hat eine schwere Sicherheitslücke. Microsoft kann aber „wegen zu viel Aufwand“ vorerst kein Bugfix liefern. Update: Der Patch sei längst da.


    Ellen Kilbourne ist Leiterin des Skype Insider Program und hat im Support-Forum bekannt gegeben, dass es tatsächlich eine DLL-Sicherheitslücke im Installer des Messenger gegeben hat. Diese betraf Version 7.40 und vorherige Updates von Skype. In Version 8, die seit Oktober 2017 im Umlauf ist, sei das Problem behoben worden. Das ist verwirrend, da der Finder der Sicherheitslücke noch von einem ungenannten Microsoft-Sprecher selbst gehört haben will, dass Skype die Lücke habe (siehe Originalmeldung) und Microsoft sie erst mit einem großen Versions-Update beheben könne. Unklar ist jedoch, zu welchem Zeitpunkt der Sprecher diese Einschätzung gab. Erstmals gemeldet wurde die DLL-Lücke im Installer im September 2017, einen Monat später kam das Skype-8-Update. Publik gemacht wurde die Lücke am 9. Februar 2018. Wir gehen dem nach und halten Sie auf dem Laufenden.


    Quelle: Skype: Microsoft lässt schwere Sicherheitslücke vorerst offen - wegen zu viel Aufwand - PC Magazin

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von HotPi () aus folgendem Grund: Update