A versão clássica do Skype para Windows, chamada de "versão 7", tem uma falha de segurança que, segundo a Microsoft, não será corrigida. No momento, mais de cinco meses após o descobrimento da vulnerabilidade pelo pesquisador de segurança Stefan Kanthak, a Microsoft não corrigiu o problema e quem utiliza a versão clássica do Skype pode não ser avisado de que o programa tem de obrigatoriamente ser atualizado para a versão UWP - o "novo" Skype.

A brecha permite que um software malicioso obtenha permissões administrativas no computador a partir do programa de instalação do Skype. Os meios de exploração da falha ainda são incertos, mas o problema não permite por si só que um vírus contamine o computador diretamente pelo Skype. O que a brecha faz é abrir caminho para que um programa já instalado no sistema se aproveite do Skype para obter permissões de acesso indevidas.

Para usuários de versões mais recentes do Windows, o "novo" Skype, que não possui a falha, precisa ser baixado da loja de aplicativos do Windows, a Microsoft Store. A nova versão ainda carece de diversos recursos presentes na versão 7, o que faz com que muitos usuários permaneçam na versão anterior.

O blog Segurança Digital verificou que o recurso de atualização do Skype informa que "a última versão do Skype está instalada", mas não diz que a versão 7 é considerada obsoleta. A Microsoft não oferece mais essa versão para download no site oficial do Skype.




Versão 7.40.0.151, a 'mais recente' do Skype clássico, tem vulnerabilidade. Solução é o 'novo' Skype disponível na Microsoft Store. (Foto: Reprodução)

Kanthak comunicou o problema à Microsoft em setembro de 2017. Ao especialista, a Microsoft justificou que corrigir o problema necessitaria que o código do instalador do Skype fosse reescrito e que isso não seria possível porque a empresa estava dedicando recursos à versão nova do Skype.

Erro conhecido

Sempre que um programa é carregado na memória, ele carrega junto de si diversos códigos prontos chamados de "bibliotecas". Isso desobriga o software de "reinventar a roda", pois ele pode chamar códigos já preparados com as funções que ele deseja realizar. No Windows, essas bibliotecas são reconhecidas pelo formato de arquivo "DLL".

Apesar de esse comportamento ser muito positivo e comum, há uma falha de segurança se o programa não verificar adequadamente o código carregado. Nesse caso, um invasor pode "plantar" um arquivo especial que será carregado e executado por um software legítimo. É como se um vírus podesse "infectar" um programa apenas colocando um arquivo na mesma pasta que ele, sem ter que modificar o programa em si.

É isso que ocorre com o programa de instalação e atualização do Skype: é possível colocar um arquivo "DLL" na mesma pasta que o instalador for executado e esse código será carregado no lugar de um DLL legítimo do Windows que o Skype deveria carregar.

O cenário de ataque para esse tipo de falha é um pouco restrito. Por isso, a Microsoft não corrige este problema no instalador do Skype desde que ele foi descoberto, em 2016.

No entanto, o recurso de atualização automática do Skype -- que é um serviço executado com permissões elevadas -- pode executar esses instaladores do Skype, abrindo um caminho para que um invasor passe de usuário desprivilegiado a administrador do sistema usando uma suposta atualização do Skype como "ponte". Este foi o ataque proposto por Kanthak.

Uma brecha idêntica foi descoberta em 2015 na Ferramenta de Remoção de Software Mal-Intencionado, um programa baixado periodicamente pelo sistema de atualização automática do Windows para remover pragas digitais comuns. Esse problema foi corrigido.

Como ocorre o ataque - em 4 passos

A falha não permite que um vírus seja instalado no computador diretamente, mas pode potencializar um ataque já em andamento. O ataque é teórico, mas ocorreria mais ou menos dessa forma:

1. O ataque começa com um vírus sendo executado pela vítima ou por alguém com acesso direto a um computador restrito. Esse vírus deve ser instalado por algum meio sem relação com a falha. A praga digital tem acesso aos arquivos pessoais, mas não pode interferir com o sistema operacional ou com o programa antivírus instalado, pois não tem as permissões necessárias.

2. O computador tem o Skype instalado. O vírus então aciona o mecanismo de atualização automática do Skype, fazendo com que uma nova versão seja baixada.

3. Antes de o serviço de atualização iniciar o instalador da nova versão, o vírus copia uma DLL maliciosa para a pasta onde a atualização é baixada. Esse download ocorre em uma pasta acessível para contas restritas, de modo que o vírus pode livremente modificar essa pasta. Se o download ocorresse em uma pasta onde o usuário não tivesse acesso, a falha não aconteceria.

4. O serviço de atualização irá executar o instalador do Skype baixado com permissões elevadas. O instalador carregará o código especificado pelo vírus no lugar do código original do sistema, repassando as permissões elevadas do serviço que o executou para o próprio vírus. Nesse momento, o vírus é capaz de interferir com o sistema operacional, desativar o antivírus e realizar outras atividades que impeçam a detecção e a remoção da praga digital.


Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]