Se ha descubierto una vulnerabilidad crítica en el servicio de mensajería y llamadas de voz, Skype. Que podría permitir a un ciber delincuentes instalar remotamente código malicioso en tu computadora o causar fallos graves en tu sistemas.
Skype es un servicio gratuito a través de Internet que permite a los usuarios comunicarse con sus compañeros ya sea por voz, video y mensajería instantánea. El servicio fue adquirido por Microsoft Corporation en mayo del 2011 por US $ 8.5 mil millones debido a su popularidad mundial y reemplazó al limitado Microsoft Messenger.
El investigador de seguridad Benjamin Kunz-Mejri de la empresa de seguridad Vulnerability Lab, con sede en Alemania, descubrió una vulnerabilidad de desbordamiento de memoria intermedia de pila, previamente desconocida y que ha sido documentada en la base de datos de vulnerabilidades conocidas como CVE-2017-9948, en el servicio de mensajería y llamadas de Skype Web durante una conferencia de equipo.
La vulnerabilidad se considera un riesgo de alta seguridad con una puntuación de 7.2 CVSS y afecta a las versiones de Skype 7.2, 7.35 y 7.36 en los sistemas operativos Windows XP, Windows 7 y Windows 8, dijo Mejri en un comunicado de seguridad publicado el lunes y en el que podemos leer:
La vulnerabilidad puede ser explotada remotamente via una sesión o localmente a través de una interacción del usuario. El problema está localizado en el formato de impresión del portapapeles y la transmisión del caché vía sesión remota en Windows XP, Windows 7 y Windows 8 . En Skype v7.37 la vulnerabilidad ha sido parchada.
Lo grave de esta vulnerabilidad es que no necesita interacción con el usuario para ser explotada de forma remota y lo único que necesita el atacante es una cuenta de Skype de bajo privilegios.
Por lo tanto, un atacante puede bloquear de forma remota la aplicación con un error de excepción inesperado, sobrescribir los registros de proceso activos o incluso ejecutar código malicioso en un sistema de destino que ejecute la versión vulnerable de Skype.
El problema reside en la forma en que Skype utiliza el archivo ‘MSFTEDIT.DLL’ en caso de una solicitud de copia en sistemas locales.
Según el informe de la vulnerabilidad, los atacantes pueden crear un archivo de imagen maliciosa y luego copiarlo y pegarlo desde el portapapeles a una la ventana de conversación en la aplicación Skype.
Una vez que esta imagen se aloja en un portapapeles tanto en el sistema remoto como en los sistemas locales, Skype experimenta un desbordamiento del búfer de la pila, causando errores y bloqueando la aplicación, lo que deja la puerta abierta para más exploits.
Los investigadores de Vulnerability Lab dicen: “La limitación del tamaño y el número de imagenes transmitidos para su impresión desde el portapapeles de sesión remota no tiene limitaciones ni restricciones de seguridad. Los atacantes [pueden] bloquear el software con una solicitud para sobrescribir el registro EIP del proceso de software activo“.
Agregán además: “Así, los atacantes locales o remotos pueden ejecutar códigos propios en todas las computadoras conectados a través del software Skype“.
La empresa de seguridad también ha proporcionado una prueba de concepto del código de explotación que puede utilizar para probar la falla. Incluso han subido un video a su canal de Youtube en el demuestran la vulnerabilidad:
Vulnerability Lab reportó la falla a Microsoft el 16 de mayo de este año y Microsoft corrigió el problema y lanzó un parche el 8 de junio en Skype versión 7.37.178.
Si eres un usuario de Skype, asegúrate de ejecutar la última versión de la aplicación en tu computadora para protegerte de ataques cibernéticos basados en esta vulnerabilidad.