Skype birgt seit September 2017 eine große Sicherheitslücke: Angreifer könnten sich mittels DLL-Hijacking Systemrechte unter Windows aneignen. Microsoft sieht aber keine Notwendigkeit für einen Patch und verweist auf knappe, personelle Ressourcen.  

Seit einiger Zeit bietet Microsoft sein Programm Skype als optionales Update von Windows an. Nach der Installation nutzt der Instant-Messenger einen proprietären Aktualisierungsmechanismus, um automatisch auf dem aktuellen Stand zu bleiben. Genau dieses Update-Tool öffnet Cyber-Kriminellen eine Sicherheitslücke, die wiederum DLL-Hijacking ermöglicht und bei erfolgreicher Durchführung erweiterte Systemrechte einräumt.

Systemzugriff über DLL-Hijacking kompliziert, aber möglich

Die vermeintliche Attacke ist allerdings mit einer Hürde verbunden: Der Angreifer müsste die lokal abgespeicherte Programmbibliothek gegen eine manipulierte Version austauschen. Das Update-Tool des Messengers nutzt diese DLL-Datei für die Aktualisierung des Programms. Der Zugriff auf die Bibliothek ist jedoch nur mit Administratorrechten möglich.

Aber Achtung: Wer die Sicherheitsabfrage des Explorers als Administrator erlaubt, gibt den Zugriff auf den entsprechenden Ordner dauerhaft frei. Dann können auch Standardnutzer mit gewöhnlichen Systemrechten via DLL-Hijacking manipulierte Dateien einschleusen. Somit wäre es möglich, dass sich Hacker auf diesem Weg Systemrechte eines Windows-PCs erschleichen.

Microsoft kennt Sicherheitslücke in Skype

Der Sicherheitsforscher Stefan Kanthak hat Microsoft bereits im Herbst 2017 auf die Problematik hingewiesen und erhielt sogar eine Rückmeldung des Unternehmens. Die Antwort verwundert: Microsoft kann den Fehler zwar nachvollziehen, ist momentan aber nicht in der Lage, einen Patch zu programmieren, denn die Ressourcen müssen anderweitig verwendet werden. Höchste Priorität hat die Entwicklung einer neuen Skype-Version. Diese würde ein Update unnötig werden lassen, da der Fix direkt implementiert ist. Somit verspricht Microsoft, die Sicherheitslücke mit dem kommenden Programm-Client zu beheben.

Wer sich dennoch bis zum Erscheinen der neuen Version vor Attacken schützen will, kann die automatische Update-Funktion von Skype deaktivieren. Ob sich die Schwachstelle mit diesem einfachen Workaround wirklich vollkommen beseitigen lässt, ist derzeit aber noch nicht sicher.