Skype est vulnérable à un commutateur d’exploitation déplaisant vers la version du Windows Store
Si la version de bureau de Skype est installée sur votre ordinateur Windows, vous êtes vulnérable à un exploit vraiment méchant. Une faille dans l'outil de mise à jour de Skype pourrait donner aux attaquants un contrôle total sur votre système, et Microsoft affirme qu'il ne va pas y avoir de solution.
Heureusement, vous pouvez éviter complètement le problème en remplaçant la version «de bureau» de Skype par celle disponible sur le Microsoft Store. Néanmoins, il est embarrassant pour le propre logiciel de Microsoft d’avoir une faiblesse aussi fondamentale, et l’exploit en question est celui que Redmond a mis en garde à plusieurs reprises contre d’autres développeurs..
Voici ce que cet exploit fonctionne et comment vous assurer de bien utiliser la version sécurisée de Skype pour Windows Store.
Quel est le problème avec Skype?
La mise à jour du logiciel est censée vous protéger, mais paradoxalement, dans le cas de Skype, la mise à jour est le problème. C'est parce que la faille ici ne concerne pas Skype, mais plutôt l'outil utilisé par Skype pour rechercher et installer les mises à jour. Cet outil de mise à jour est vulnérable au DLL hjjacking, comme l'explique le chercheur Stefan Kanthak:
Cet exécutable est vulnérable au détournement de DLL: il charge au moins UXTheme.dll à partir de son répertoire d'application% SystemRoot% Temp à la place du répertoire système de Windows. Un utilisateur (privilégié) sans privilèges (capable de placer UXTheme.dll ou l'une des autres DLL chargées par l'exécutable vulnérable dans% SystemRoot% Temp gagne l'escalade de privilèges sur le compte SYSTEM.
En gros, Skype exécute des DLL à partir du dossier Temp, auquel les utilisateurs peuvent accéder sans droits d'administrateur. Il est donc facile pour les mauvais acteurs de remplacer les DLL et d’obtenir le contrôle de votre ordinateur au niveau du système. C'est le genre de vulnérabilité que Microsoft avertit spécifiquement les développeurs d'éviter, mais l'équipe de Microsoft sur Skype semble avoir raté ce mémo.
Et ça empire. Microsoft a déclaré à Kanthak qu'ils "étaient capables de reproduire le problème", mais aucun correctif ne sera publié pour résoudre le problème. Au lieu de cela, Microsoft prévoit de résoudre le problème lors de la prochaine version majeure de Skype. On ne sait pas quand..
C'est… pas idéal. Heureusement, il y a une alternative.
La solution: utiliser la version du Windows Store
Microsoft propose deux versions de Skype pour Windows: la version «Desktop», qui existe depuis très longtemps, et la version UWP (Universal Windows Platform), que vous pouvez télécharger à partir de l'application Microsoft Store fournie avec Windows. Seule la version de bureau est vulnérable à cet exploit, car seule la version de bureau utilise son propre outil de mise à jour..
Microsoft pousse les utilisateurs vers la version de Skype pour le Microsoft Store depuis un certain temps: la page de téléchargement de Skype dirige les utilisateurs vers le Store, par exemple. Cependant, de nombreux utilisateurs ont toujours la version de bureau sur leur système. Ils doivent désinstaller cette version et n’utiliser la version de Store que s’ils veulent rester à l’abri de cet exploit..
Comment pouvez-vous savoir quelle version vous avez? Le moyen le plus simple consiste à rechercher «Skype» dans le menu de démarrage. Si vous voyez les mots «Trusted Microsoft app app» sous le nom de Skype, vous êtes probablement couvert..
Les deux applications ont également l'air complètement différent. Voici la version "desktop":
Si votre Skype ressemble à ceci, vous êtes vulnérable à l'exploit. Vous devez désinstaller Skype, puis télécharger la version Microsoft Store..
Voici la version de Microsoft Store:
Si votre Skype ressemble à ceci, vous êtes en sécurité: les mises à jour de cette version sont gérées à l'aide de Microsoft Store, la vulnérabilité n'est donc pas pertinente.
Il est regrettable que Microsoft ne se contente pas de corriger cette vulnérabilité, mais au moins une version fonctionnelle de Skype est verrouillée. Et bien que l'interface et les fonctionnalités de la version Microsoft Store soient un ajustement, des tests tels que l'appel et la discussion en ligne fonctionnent parfaitement, même si l'interface offre moins d'options. Et hé: il n'y a pas d'annonces laides sur la version Store, c'est donc un avantage.