Messenger: Schwere Sicherheitslücke in Skype entdeckt

Genauer gesagt die Skype Update Funktion.

Der Sicherheitsforscher Stefan Kanthak hatte Microsoft schon im September 2017 über eine kritische Sicherheitslücke im Kommunikations-Tool Skype informiert. Mittlerweile sind mehr als die üblichen drei Monate vergangen, die ein Unternehmen Zeit für ein Bugfix bekommt, bevor Informationen zu einem Sicherheitsleck publik gehen.

Gegenüber dem immer beliebter werdenden und mittlerweile auch auf Desktop-PCs nutzbaren WhatsApp-Konkurrenten hat es Microsofts Skype-Messenger nicht gerade leicht, entsprechende Nutzerzahlen vorweisen zu können. Per "DLL-Hijacking" (Dynamic Link Library) - also dem Übernehmen von Programmbibliotheken - können Cyberkriminelle das Update-Tool nun austricksen. Über diese Lücke kann ein Angreifer über einen eingeschränkten Nutzeraccount die komplette Kontrolle über das Betriebssystem und den Rechner erlangen. Systemrechte sind Administratorrechten übergeordnet - Kanthak beschreibt den Benutzerlevel "System" gegenüber zdnet.com mit den Worten "Administrator auf Steroiden".

Das Einschleusen einer speziell präparierten DLL-Datei ist Kanthak zufolge mit einfachen Skripten möglich. "Windows bietet verschiedene Wege dafür an", sagte er. Doch DLL-Hijacking sei nicht nur auf Windows beschränkt.

Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich nicht ohne massiven Umbau im Programm-Code schließen lässtMicrosoft Skype: schwere Sicherheitslücke entdeckt, die sich nicht ohne massiven Umbau im Programm-Code schließen lässt – deine Meinung? Deshalb werde man das über eine vollkommen neue Version der Software machen und eben nicht per Patch.

Laut Microsoft sind die eigenen Entwickler in der Lage, derartige Angriffe zu reproduzieren. Immerhin verspricht Microsoft gerade, mit "allen Ressourcen" an einem solchen Update zu arbeiten.

Ausgabe: