Skype ist anfällig für einen bösen Exploit-Wechsel zur Windows Store-Version
Wenn sich die Desktopversion von Skype auf Ihrem Windows-Computer befindet, sind Sie anfällig für einen bösen Angriff. Ein Fehler im Update-Tool von Skype könnte Angreifern die vollständige Kontrolle über Ihr System geben, und Microsoft sagt, dass es in naher Zukunft keine Lösung gibt.
Glücklicherweise können Sie das Problem vollständig vermeiden, indem Sie die Desktopversion von Skype durch die im Microsoft Store verfügbare Version ersetzen. Trotzdem ist es peinlich für Microsofts eigene Software, diese grundlegende Schwäche aufzuweisen, und der fragliche Exploit ist, dass Redmond andere Entwickler bereits mehrmals gewarnt hat.
Wie dieser Exploit funktioniert, und wie Sie sicherstellen können, dass Sie die sichere Windows Store-Version von Skype verwenden.
Was ist los mit Skype??
Das Aktualisieren der Software soll Sie schützen, aber in Skypes Fällen ist das Aktualisieren das Problem. Dies liegt daran, dass der Fehler hier nicht bei Skype selbst liegt, sondern bei dem Tool, das Skype zum Suchen und Installieren von Updates verwendet. Dieses Update-Tool ist anfällig für DLL-Hjjacking, wie Forscher Stefan Kanthak skizziert:
Diese ausführbare Datei ist anfällig für DLL-Hijacking: Sie lädt mindestens UXTheme.dll aus ihrem Anwendungsverzeichnis% SystemRoot% Temp und nicht aus dem Windows-Systemverzeichnis. Ein nicht privilegierter (lokaler) Benutzer, der in der Lage ist, UXTheme.dll oder eines der anderen DLLs zu platzieren, die von der anfälligen ausführbaren Datei in% SystemRoot% Temp geladen werden, erhält eine Erhöhung der Berechtigungen auf das Konto SYSTEM.
Grundsätzlich führt Skype DLLs aus dem Temp-Ordner aus, auf die Benutzer ohne Administratorrechte zugreifen können. Dies macht es für schlechte Akteure einfach, die DLLs auszutauschen und die Steuerung auf Systemebene über Ihren Computer zu erlangen. Diese Art von Sicherheitsanfälligkeit warnt Microsoft ausdrücklich, um Entwickler zu warnen, aber das Skype-Team von Microsoft scheint dieses Memo übersehen zu haben.
Und es wird schlimmer. Microsoft erklärte gegenüber Kanthak, sie könnten "das Problem reproduzieren", aber es wird kein Patch veröffentlicht, um das Problem zu lösen. Stattdessen plant Microsoft, das Problem während der nächsten Hauptversion von Skype zu lösen. Es ist nicht klar, wann dies der Fall sein wird.
Das ist… nicht ideal. Zum Glück gibt es eine Alternative.
Die Lösung: Verwenden Sie die Windows Store-Version
Microsoft bietet zwei Versionen von Skype für Windows an: Die seit langem bestehende Desktop-Version und die UWP-Version (Universal Windows Platform), die Sie von der mit Windows mitgelieferten Microsoft Store-App herunterladen können. Nur die Desktopversion ist anfällig für diesen Exploit, da nur die Desktopversion ein eigenes Update-Tool verwendet.
Microsoft hat Benutzer seit einiger Zeit auf die Microsoft Store-Version von Skype umgestellt: Die Skype-Downloadseite leitet Benutzer beispielsweise in den Store. Viele Benutzer haben jedoch immer noch die Desktopversion auf ihren Systemen. Sie sollten diese deinstallieren und die Store-Version nur verwenden, wenn sie vor diesem Exploit geschützt werden möchten.
Wie können Sie feststellen, welche Version Sie haben? Am einfachsten suchen Sie im Startmenü nach „Skype“. Wenn unter dem Namen von Skype die Wörter "Vertrauenswürdige Microsoft Store-App" angezeigt werden, sind Sie wahrscheinlich abgesichert.
Die beiden Apps sehen auch völlig anders aus. Hier ist die "Desktop" -Version:
Wenn Ihr Skype so aussieht, sind Sie anfällig für den Exploit. Sie sollten Skype deinstallieren und dann die Microsoft Store-Version herunterladen.
Hier ist die Microsoft Store-Version:
Wenn Ihr Skype so aussieht, sind Sie sicher: Updates für diese Version werden mit Microsoft Store verarbeitet, sodass die Sicherheitsanfälligkeit nicht relevant ist.
Es ist bedauerlich, dass Microsoft diese Sicherheitsanfälligkeit nicht nur korrigiert, sondern zumindest eine funktionierende Version von Skype, die gesperrt ist. Auch wenn die Benutzeroberfläche und die Features der Microsoft Store-Version eine Anpassung sein werden, funktionieren in unseren Tests Dinge wie Anrufen und Chat einwandfrei, selbst wenn die Benutzeroberfläche weniger Optionen bietet. Und hey: In der Store-Version gibt es keine hässlichen Anzeigen. Das ist also ein Plus.