Microsoft sẽ không sớm vá lỗ hổng nghiêm trọng trên Skype

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong dịch vụ nhắn tin trực tuyến miễn phí và dịch vụ thoại Skype phổ biến nhất hiện nay của Microsoft. Lỗ hổng này có khả năng cho phép hacker kiểm soát toàn bộ máy chủ bằng cách cấp đặc quyền hệ thống cho một người dùng nào đó.

Điều đáng lo ngại là Microsoft sẽ không sớm vá lại lỗ hổng này.

Không phải là vì lỗ hổng này không thể khắc phục mà là vì việc sửa lỗi đòi hỏi hãng phải viết lại phần mềm đáng kể, điều này cho thấy công ty sẽ phải cần phát hành ra một phiên bản Skype hoàn toàn mới chứ không phải là một bản vá lỗi thông thường.

Lỗ hổng đã được phát hiện và báo cáo cho Microsoft bởi một nhà nghiên cứu bảo mật mang tên Stefan Kanthak. Được biết lỗ hổng nằm trong bộ cài đặt cập nhật của Skype và có khác năng bị tấn công các DLL động.

Theo các nhà nghiên cứu, hacker có thể khai thác chức năng của trình Windows DLL, nơi quá trình tải DLL và tìm kiếm DLL trong cùng thư mục, trong đó có quy trình nhị phân và các thư mục khác. Việc khai thác này cho phép kẻ tấn công can thiệp quá trình cập nhật bằng các tải xuống và cài đặt một phiên bản độc hại của một tệp DLL vào thư mục tạm thời của máy tính Windows, đổi tên nó để khớp với DLL hợp pháp có thể sửa đổi bởi một đối tượng không có đặc quyền quản lý.

Khi trình cài đặt cập nhật Skype cố tìm tập DLL liên quan, nó sẽ vô tình tìm ra DLL độc hại trước và cài đặt mã độc hại.

Mặc dù Kanthak đã chứn minh cuộc tấn công bằng cách sử dụng Skype trên phiên bản Windows, nhưng ông tin rằng, phương pháp cướp DLL giống nhau cũng có thể hoạt động trên các hệ điều hành khác như macOS và Linux. Ông đã thông báo cho Microsoft về lỗ hổng của Skype vào tháng 9 nhưng công ty phản hồi rằng bản vá sẽ yêu cầu trình cài đặt cập nhật thông qua một bản sửa đổi mã lớn.

Vì vậy, thay vì đưa ra bản cập nhật bảo mật, Microsoft đã quyết định xây dựng một phiên bản hoàn toàn mới cho khách hàng Skype nhằm giải quyết tình trạng dễ bị tổn thương này. Cần lưu ý rằng lỗ hổng này chỉ ảnh hưởng đến Skype đối với ứng dụng dành cho máy tính để bàn, sử dụng trình cài đặt cập nhật dễ bị tấn công bởi kỹ thuật cướp DLL. Phiên bản ứng dụng nền tảng Universal Windows (UWP) có sẵn từ các cửa hàng Microsoft Store cho Windows 10 không bị ảnh hưởng.

Tính dễ bị tổn thương này được đánh giá là trung bình trong mức độ nghiêm trọng nhưng Kanthak nói cuộc tấn công hoàn toàn có thể được vũ khí hóa dễ dàng.

Do đó cho đến khi công ty phát hành phiên bản Skype hoàn toàn mới, người dùng nên thận trọng và tránh nhấp vào tệp đính kèm được cung cấp qua email. Ngoài ra, bạn hãy đảm bảo chạy phần mềm chống virus phù hợp và cập nhật phiên bản mới nhất.

Minh Hương