Página principal » cómo » Skype es vulnerable a un interruptor de explotación desagradable a la versión de la Tienda Windows

    Skype es vulnerable a un interruptor de explotación desagradable a la versión de la Tienda Windows

    Si la versión de escritorio de Skype está en tu computadora con Windows, eres vulnerable a un ataque realmente desagradable. Una falla en la herramienta de actualización de Skype podría dar a los atacantes el control total sobre su sistema, y ​​Microsoft dice que no habrá una solución en el futuro.

    Afortunadamente, puede evitar el problema por completo reemplazando la versión de Skype para escritorio con la disponible en Microsoft Store. Aún así, es vergonzoso para el software de Microsoft tener una debilidad tan fundamental, y la vulnerabilidad en cuestión es una que Redmond ha advertido a otros desarrolladores varias veces..

    Esto es lo que funciona este exploit y cómo puede asegurarse de que está usando la versión segura de Skype para la Tienda Windows..

    ¿Qué está mal con Skype??

    Se supone que la actualización del software lo mantiene seguro, pero, irónicamente, en el caso de Skype, la actualización es el problema. Esto se debe a que la falla aquí no está en el propio Skype, sino en la herramienta que Skype usa para encontrar e instalar actualizaciones. Esta herramienta de actualización es vulnerable al hjjacking DLL, como lo describe el investigador Stefan Kanthak:

    Este ejecutable es vulnerable al secuestro de DLL: carga al menos UXTheme.dll desde su directorio de aplicación% SystemRoot% Temp en lugar del directorio del sistema de Windows. Un usuario sin privilegios (local) que puede colocar UXTheme.dll o cualquiera de los otros DLL cargados por el ejecutable vulnerable en% SystemRoot% Temp gana la escalada de privilegios a la cuenta del SISTEMA.

    Básicamente, Skype ejecuta DLL desde la carpeta Temp, a la que los usuarios pueden acceder sin derechos de administrador. Esto hace que sea trivial que los malos actores cambien las DLL y obtengan un control a nivel del sistema sobre su computadora. Es el tipo de vulnerabilidad que Microsoft específicamente advierte a los desarrolladores para evitar, pero el equipo de Skype de Microsoft parece haberse perdido esa nota en particular.

    Y se pone peor. Microsoft le dijo a Kanthak que "pudieron reproducir el problema", pero no se emitirá un parche emitido para resolver el problema. En cambio, Microsoft planea resolver el problema durante la próxima versión importante de Skype. No está claro cuándo será eso..

    Eso es ... no ideal. Afortunadamente, hay una alternativa.

    La solución: utilizar la versión de la tienda de Windows

    Microsoft ofrece dos versiones de Skype para Windows: la versión "Desktop", que ha existido durante años, y la versión de la Plataforma Universal de Windows (UWP), que puede descargar de la aplicación Microsoft Store incluida con Windows. Solo la versión de escritorio es vulnerable a esta vulnerabilidad en particular, porque solo la versión de escritorio usa su propia herramienta de actualización.

    Microsoft ha estado presionando a los usuarios a la versión de Microsoft Store de Skype por un tiempo: la página de descarga de Skype dirige a los usuarios a la Tienda, por ejemplo. Pero muchos usuarios aún tienen la versión de escritorio en sus sistemas, y deberían desinstalarla y solo usar la versión de la Tienda si quieren estar a salvo de esta vulnerabilidad..

    ¿Cómo puedes saber qué versión tienes? La forma más sencilla es buscar "Skype" en el menú de inicio. Si ve las palabras "Aplicación confiable de Microsoft Store" debajo del nombre de Skype, probablemente esté cubierto.

    Las dos aplicaciones también se ven completamente diferentes. Aquí está la versión de "escritorio":

    Si tu Skype se ve así, eres vulnerable a la vulnerabilidad. Debes desinstalar Skype, luego descargar la versión de Microsoft Store.

    Aquí está la versión de Microsoft Store:

    Si su Skype se ve así, está seguro: las actualizaciones para esta versión se manejan usando Microsoft Store, por lo que la vulnerabilidad no es relevante.

    Es lamentable que Microsoft no solo solucione esta vulnerabilidad, sino que al menos haya una versión funcional de Skype que está bloqueada. Y mientras que la interfaz y las características de la versión de Microsoft Store serán un ajuste, las cosas como las llamadas y el chat funcionan bien en nuestras pruebas, incluso si la interfaz ofrece menos opciones. Y oye: no hay anuncios feos en la versión de la tienda, por lo que es un punto a favor.

    SlickRun para usuarios avanzados de Windows
    Interruptores de luz inteligente frente a bombillas inteligentes ¿Cuál debería comprar?
    Omita el molesto Use el servicio web para encontrar el programa correcto Cuadro de diálogo
    Siguiente articulo
    Slacker Geek Actualiza tu perfil de Facebook desde Outlook
    Artículo anterior
    Skype es horrible para el chat de texto. Utilice Telegram en su lugar