Kritische Sicherheitslücke in Skype - Behebung zu viel Aufwand für Microsoft

Skype hat eine Sicherheitslücke, die Microsoft seit September 2017 kennt, aber vorerst nicht beheben wird.

Der Sicherheitsforscher Stefan Kanthak hatte Microsoft schon im September 2017 über eine kritische Sicherheitslücke im Kommunikations-Tool Skype informiert. Über diese Lücke kann ein Angreifer über einen eingeschränkten Nutzeraccount die komplette Kontrolle über das Betriebssystem und den Rechner erlangen.

DLL-Hijacking überlistet Installer

Die dahinter stehende Angriffsmethode heißt DLL-Hijacking und sorgt dafür, dass der Skype-Installer Schadcode statt anstehender Updates installiert. Dazu wird eine manipulierte DLL in einem temporären Ordner abgespeichert. Die DLL wird dann umbenannt, damit sie so heißt, wie eine legitime DLL, auf die auch ein Nutzer ohne Administrator-Rechte zugreifen kann.

Wenn der Skype-Installer dann versucht, die DLL zu finden, wird die manipulierte Version zuerst gefunden und dann der Schadcode installiert. Windows bietet laut Kanthak gleich mehrere Möglichkeiten für solche Angriffe per DLL-Hijacking, allerdings können laut seiner Aussage auch macOS und Linux auf ähnliche Weise überlistet werden.

Microsoft behebt die Lücke vorerst nicht

Obwohl die Angriffsmethode sehr gefährlich werden kann und bei einem Erfolg dem Angreifer System-Rechner erlaubt, die sogar über Administrator-Rechte hinausgehen, hat sich Microsoft laut einem Bericht von ZDNet dazu entschieden, den bestätigten Fehler vorerst nicht zu beheben. Der Grund dafür ist, dass die Behebung ein Umschreiben größerer Codebestandteile von Skype erforderlich macht.

Microsoft will das aber nun nicht extra wegen einer Sicherheitslücke in Angriff nehmen, sondern bis zum nächsten, großen Skype-Update warten. Microsoft arbeitet ohnehin schon an einem ganz neuen Skype-Client, der auch dieses Problem beheben wird. Bis zu dessen Veröffentlichung bleibt die Sicherheitslücke in Skype also wohl offen.