Skype : Microsoft laisse une vulnérabilité de côté

Ce n’est probablement pas la faille du siècle, mais Skype préfère laisser celle-ci non corrigée. Le chercheur Stefan Kanthak a ainsi publié sur son site les détails d’une faille de sécurité affectant le mécanisme de mise à jour utilisé par Skype. En effet, le logiciel de VoIP racheté par Microsoft n’utilise pas l’outil de mise à jour Windows Update pour télécharger les nouvelles versions de son logiciel, mais un mécanisme de mise à jour particulier, qui utilise son propre processus et son propre exécutable.

 

Pas de patch, mais une nouvelle version de Skype

Malheureusement, comme l’a découvert le chercheur, ce mécanisme de mise à jour est vulnérable à une faille de type injection de fichier DLL malveillant. La méthode consiste à renommer et placer un fichier DLL contenant du code malveillant dans l’un des fichiers chargés par l’outil de mise à jour : celui-ci ne vérifie pas l’authenticité du fichier chargé et se contente d’exécuter le fichier DLL UXTheme.dll.

Cette faille de sécurité peut permettre une élévation de privilège en conférant à un attaquant la possibilité d’exécuter du code malveillant avec un niveau de privilège SYSTEM sur la machine de la cible. Ce niveau de privilège est comparable à un compte administrateur sur la machine et peut donc ouvrir la voie à des attaques.

L’exploitation de cette faille n’est pas forcement la chose la plus aisée : l’attaquant doit en effet déjà être en mesure de placer son fichier DLL malveillant dans le fichier de la machine, ce qui nécessite un accès physique à la machine ou le recours à des techniques de malvertising. Celle-ci reste néanmoins exploitable par un attaquant expérimenté ou dans le cadre d’un attaquant ayant déjà pénétré le système et qui chercherait à élever son niveau de privilège sur la machine cible.

Stefan Kanthak a fait part de ses découvertes à l’équipe de développement de Skype, mais celle-ci indique que le bug en question ne sera pas résolu au travers des mises à jour de sécurité du logiciel. Les équipes de Skype estiment en effet que la correction de cette faille demanderait trop de travail aux développeurs travaillant actuellement sur le projet et indique que cette vulnérabilité sera corrigée plus tard, à l’occasion du déploiement d’un nouveau client pour Skype. L’éditeur ne donne aucune date précise, mais promet que toutes ses équipes travaillent au développement de ce nouveau client qui corrigera la faille en question. En attendant, mieux vaut se méfier.

ZDNet