Sky­pe birgt seit Sep­tem­ber 2017 eine gro­ße Sicher­heits­lü­cke: Angrei­fer könn­ten sich mit­tels DLL-Hijacking Sys­tem­rech­te unter Win­dows aneig­nen. Micro­soft sieht aber kei­ne Not­wen­dig­keit für einen Patch und ver­weist auf knap­pe, per­so­nel­le Res­sour­cen.  

Seit eini­ger Zeit bie­tet Micro­soft sein Pro­gramm Sky­pe als optio­na­les Update von Win­dows an. Nach der Instal­la­ti­on nutzt der Instant-Mes­sen­ger einen pro­prie­tä­ren Aktua­li­sie­rungs­me­cha­nis­mus, um auto­ma­tisch auf dem aktu­el­len Stand zu blei­ben. Genau die­ses Update-Tool öff­net Cyber-Kri­mi­nel­len eine Sicher­heits­lü­cke, die wie­der­um DLL-Hijacking ermög­licht und bei erfolg­rei­cher Durch­füh­rung erwei­ter­te Sys­tem­rech­te ein­räumt.

Sys­tem­zu­griff über DLL-Hijacking kom­pli­ziert, aber mög­lich

Die ver­meint­li­che Atta­cke ist aller­dings mit einer Hür­de ver­bun­den: Der Angrei­fer müss­te die lokal abge­spei­cher­te Pro­gramm­bi­blio­thek gegen eine mani­pu­lier­te Ver­si­on aus­tau­schen. Das Update-Tool des Mes­sen­gers nutzt die­se DLL-Datei für die Aktua­li­sie­rung des Pro­gramms. Der Zugriff auf die Biblio­thek ist jedoch nur mit Admi­nis­tra­tor­rech­ten mög­lich.

Aber Ach­tung: Wer die Sicher­heits­ab­fra­ge des Explo­rers als Admi­nis­tra­tor erlaubt, gibt den Zugriff auf den ent­spre­chen­den Ord­ner dau­er­haft frei. Dann kön­nen auch Stan­dard­nut­zer mit gewöhn­li­chen Sys­tem­rech­ten via DLL-Hijacking mani­pu­lier­te Datei­en ein­schleu­sen. Somit wäre es mög­lich, dass sich Hacker auf die­sem Weg Sys­tem­rech­te eines Win­dows-PCs erschlei­chen.

Micro­soft kennt Sicher­heits­lü­cke in Sky­pe

Der Sicher­heits­for­scher Ste­fan Kant­hak hat Micro­soft bereits im Herbst 2017 auf die Pro­ble­ma­tik hin­ge­wie­sen und erhielt sogar eine Rück­mel­dung des Unter­neh­mens. Die Ant­wort ver­wun­dert: Micro­soft kann den Feh­ler zwar nach­voll­zie­hen, ist momen­tan aber nicht in der Lage, einen Patch zu pro­gram­mie­ren, denn die Res­sour­cen müs­sen ander­wei­tig ver­wen­det wer­den. Höchs­te Prio­ri­tät hat die Ent­wick­lung einer neu­en Sky­pe-Ver­si­on. Die­se wür­de ein Update unnö­tig wer­den las­sen, da der Fix direkt imple­men­tiert ist. Somit ver­spricht Micro­soft, die Sicher­heits­lü­cke mit dem kom­men­den Pro­gramm-Cli­ent zu behe­ben.

Wer sich den­noch bis zum Erschei­nen der neu­en Ver­si­on vor Atta­cken schüt­zen will, kann die auto­ma­ti­sche Update-Funk­ti­on von Sky­pe deak­ti­vie­ren. Ob sich die Schwach­stel­le mit die­sem ein­fa­chen Work­around wirk­lich voll­kom­men besei­ti­gen lässt, ist der­zeit aber noch nicht sicher.