Se a versão desktop do Skype estiver em seu computador Windows, você está vulnerável a uma exploração realmente desagradável. Uma falha na ferramenta de atualização do Skype pode dar aos invasores controle total sobre o seu sistema, e a Microsoft diz que não haverá uma correção tão cedo.
Felizmente, você pode evitar o problema completamente substituindo a versão “desktop” do Skype pela que está disponível na Microsoft Store . Ainda assim, é constrangedor para o próprio software da Microsoft ter uma fraqueza tão fundamental, e a exploração em questão é uma que Redmond advertiu outros desenvolvedores várias vezes.
Veja como funciona esse exploit e como você pode ter certeza de que está usando a versão segura do Skype na Windows Store.
O que há de errado com o Skype?
A atualização de software deve mantê-lo seguro, mas, ironicamente, no caso do Skype, o problema é a atualização. Isso porque a falha aqui não é com o próprio Skype, mas sim com a ferramenta que o Skype usa para encontrar e instalar atualizações. Esta ferramenta de atualização é vulnerável ao hjjacking de DLL, conforme destaca o pesquisador Stefan Kanthak :
Este executável é vulnerável ao sequestro de DLL: ele carrega pelo menos UXTheme.dll de seu diretório de aplicativo% SystemRoot% Temp em vez do diretório de sistema do Windows. Um usuário sem privilégios (local) capaz de colocar UXTheme.dll ou qualquer uma das outras DLLs carregadas pelo executável vulnerável em% SystemRoot% Temp ganha escalonamento de privilégio para a conta SYSTEM.
Basicamente, o Skype executa DLLs da pasta Temp, que os usuários podem acessar sem direitos de administrador. Isso torna trivial para agentes mal-intencionados trocar as DLLs e obter controle de nível de sistema sobre seu computador. É o tipo de vulnerabilidade que a Microsoft alerta especificamente os desenvolvedores para evitar , mas a equipe do Skype da Microsoft parece ter esquecido esse memorando em particular.
E fica pior. A Microsoft disse à Kanthak que “foi capaz de reproduzir o problema”, mas não será lançado um patch para resolver o problema. Em vez disso, a Microsoft planeja resolver o problema durante o próximo grande lançamento do Skype – não está claro quando será.
Isso … não é o ideal. Felizmente, existe uma alternativa.
A solução: use a versão da Windows Store
A Microsoft oferece duas versões do Skype para Windows: a versão “Desktop”, que existe há muito tempo, e a versão da Plataforma Universal do Windows (UWP), que você pode baixar do aplicativo Microsoft Store que acompanha o Windows. Apenas a versão para desktop é vulnerável a esse exploit específico, porque apenas a versão para desktop usa sua própria ferramenta de atualização.
A Microsoft tem empurrado os usuários para a versão da Microsoft Store do Skype há algum tempo: a página de download do Skype direciona os usuários para a Store, por exemplo. Mas muitos usuários ainda têm a versão desktop em seus sistemas, e eles devem desinstalá-la e usar apenas a versão Store se quiserem ficar protegidos contra esse exploit.
Como você pode saber qual versão você tem? A maneira mais simples é pesquisar “Skype” no menu iniciar. Se vir as palavras “Trusted Microsoft Store app” abaixo do nome do Skype, provavelmente você está coberto.
Os dois aplicativos também parecem completamente diferentes. Aqui está a versão “desktop”:
Se o seu Skype for assim, você está vulnerável ao exploit. Você deve desinstalar o Skype e baixar a versão da Microsoft Store .
Esta é a versão da Microsoft Store:
Se o seu Skype for assim, você está seguro: as atualizações para esta versão são feitas usando a Microsoft Store, então a vulnerabilidade não é relevante.
É uma pena que a Microsoft não vai apenas corrigir essa vulnerabilidade, mas pelo menos há uma versão funcional do Skype que está bloqueada. E embora a interface e os recursos da versão da Microsoft Store sejam um ajuste, coisas como chamada e bate-papo funcionam bem em nossos testes, mesmo se a interface oferecer menos opções. E ei: não há anúncios feios na versão Store, então isso é uma vantagem.
