Korzystasz ze Skype'a? Jesteś łatwym celem...

W popularnym komunikatorze głosowym wykryto kilka groźnych błędów, z których dwa określono jako "krytyczne", ponieważ umożliwiają zdalne przejęcie kontroli nad komputerem, na którym zainstalowany jest Skype. Producent aplikacji zaleca użytkownikom jak najszybsze pobranie i zainstalowanie nowej, wolnej od błędów, wersji Skype'a. Najbardziej zagrożeni są użytkownicy Windows - choć w Skype dla Linuksa i Mac OS również wykryto błędy. "Zaryzykuję prognozę, że coraz częściej będziemy mieli do czynienia z odkrywaniem luk w "zaufanych" aplikacjach, takich jak przeglądarki plików graficznych, odtwarzacze filmów DivX, Acrobat Reader, czy komunikatory internetowe. Włamywacze już zauważyli, że skoro coraz trudniej jest zmusić użytkownika do uruchomienia plików wykonywalnych, to trzeba użyć innego podstępu" - mówi Michał Jarski z firmy Internet Security Systems.

Najpoważniejsze luki w zabezpieczeniach wykryto w edycji dla systemu Windows - problem dotyczy programu Skype w wersjach od 1.1. do 1.4. Obie "dziury" umożliwiającą zdalne wywołanie błędu przepełnienia bufora - a konsekwencji uruchomienie niebezpiecznego kodu i przejęcie pełnej kontroli nad zaatakowaną maszyną.

"Wysoce krytyczny" duet

Pierwszy błąd można wykorzystać poprzez skłonienie użytkownika do kliknięcia na odpowiednio spreparowany odnośnik (np. umieszczony na stronie WWW, w treści wiadomości e-mail lub przesłany za pośrednictwem komunikatora tekstowego), drugi - poprzez skłonienie korzystającego ze Skype'a internauty do zaimportowania zmodyfikowanej wizytówki VCard.

Oba powyższe błędy zostały ocenione przez firmę Secunia (zajmującą się problematyką bezpieczeństwa informatycznego) jako "wysoce krytyczne". Firma - podobnie jak producent Skype'a - zaleca użytkownikom jak najszybsze zainstalowanie udostępnionej właśnie nowej, wolnej od błędu, wersji komunikatora (wydanie 1.4.*.84 i późniejsze)

Okiem eksperta

"Tradycyjnie za najgroźniejsze uznawane są ataki sieciowe, które nie wymagając żadnych działań ze strony użytkownika ani uwierzytelniania w systemie, pozwalają na przejęcie całkowitej kontroli nad komputerem" - tłumaczy Michał Jarski z ISS. "Luką, którą potencjalnie można w ten sposób wykorzystać jest CVE-2005-3267. Pozwala ona na przepełnienie stosu w trakcie przetwarzania specyficznie skonstruowanego strumienia danych skierowanych do komunikatora Skype i w efekcie zwieszenie klienta. Dotąd nie udało się jeszcze "wstrzelić" w tę sekwencję zewnętrznego (wymyślonego przez włamywacza) kodu, ale jest to wielce prawdopodobne i dopełniłoby całości narzędzi potrzebnych do stworzenia skutecznego ataku. Dodać należy, że nie ma jeszcze patcha likwidującego tę lukę w edycji Skype na PocketPC. Luka funkcjonuje we wszystkich systemach operacyjnych obsługiwanych przez Skype." - dodaje M. Jarski.

"Dużo groźniejsze wydają się luki odkryte w przetwarzaniu VCARD i URL (callto:// i skype://) opisane w CVE-2005-3265. Podatność odnosi się do wersji Skype dla Windows. Tutaj mamy już potwierdzoną możliwość wykonania "podłożonego" przez włamywacza kodu. Wymaga to interakcji z użytkownikiem, ale przecież doświadczenie podpowiada, że nie jest tak trudno zwieść jego czujność i zaprowadzić na stronę WWW ze spreparowanymi URL/URI albo podesłać list zawierający w załączniku przygotowany przez atakujących VCARD udający niewinne informacje kontaktowe. Wystarczy kliknąć w link lub otworzyć (w końcu zaufany, niewykonywalny) plik i hacker już nas ma. Warto zauważyć, że jest to już trzecia luka w obsłudze URL przez Skype!" - ostrzega Michał Jarski.

Nie tylko Windows...

Mówi Piotr Tchórzewski z portalu Onet.pl (firmującego w Polsce komunikator Skype)

Pragnę uspokoić wszystkich użytkowników: dzięki porozumieniu zawartemu pomiędzy Onet.pl a Skype, użytkownicy komunikatora mogą mieć pewność dostępu do wszelkich, bieżących uaktualnień aplikacji. Najnowsza wersja programu pojawi się w najbliższym czasie na naszych stronach.

Jeśli nawet wystąpią (nieznaczne) opóźnienia - zapewniamy, że będą one dzięki naszej staranności, ograniczone do absolutnego minimum czasowego, podyktowanego uwarunkowaniami technicznymi.

Przedstawiciele Secunia zaznaczają, że wersje Skype'a dla systemów Linux i Mac OS także nie są wolne od błędów - aczkolwiek w tych przypadkach nie są one aż tak groźne, ponieważ ich wykorzystanie może co najwyżej spowodować zawieszenie się programu. W tych przypadkach również zalecane jest pobranie i zainstalowanie nowych, poprawionych wydań.

Z informacji dostarczonych przez Secunia wynika, że jak do tej pory nie zanotowano żadnych prób atakowania komputerów z wykorzystaniem ujawnionych właśnie błędów. Eksperci obawiają się jednak, że takie ataki mogą z czasem stawać się coraz częstsze - kilka cech komunikatora Skype sprawia, że może być on wygodnym celem "e-włamywaczy" - "Ten program trudno kontrolować z punktu widzenia administratora - obawiam się, że jego rosnąca popularność - szczególnie wśród mniej zaawansowanych użytkowników - sprawi, że Skype coraz częściej będzie stawał się celem najróżniejszych ataków" - tłumaczy Tom Newton z firmy SmoothWall. Popularność Skype'a może też zostać w inny sposób wykorzystana do niecnych celów - warto przypomnieć, że kilka dni temu w Sieci pojawił koń trojański, podszywający się pod uaktualnienie dla komunikatora (pisaliśmy o tym w tekście "Niebezpieczne uaktualnienie dla Skype'a").

Będzie coraz groźniej? Prognozuje Michał Jarski z firmy ISS:

Zaryzykuję prognozę, że coraz częściej będziemy mieli do czynienia z odkrywaniem luk w "zaufanych" aplikacjach, takich jak przeglądarki plików graficznych, odtwarzacze filmów DivX, Acrobat Reader, czy komunikatory internetowe. Włamywacze już zauważyli, że skoro coraz trudniej jest zmusić użytkownika do uruchomienia plików wykonywalnych (o EXE już nie wspominam, ale próbują chociażby ukrywać je nawet jako niby-URL: w końcu foo.COM, to też plik wykonywalny), to trzeba użyć innego podstępu. Nawet zaawansowanemu użytkownikowi Internetu rzadko przyjdzie do głowy, że plik GIF lub JPG zawierający obraz, AVI z filmem przesłanym od znajomego lub ściągniętym z BitTorrent (np. dziura w przetwarzaniu plików AVI przez DirectShow z ostatniej serii poprawek Microsoft), PDF z dokumentacją zakupionego na aukcji aparatu, VCARD jaki otrzymali od nowo poznanej osoby w Skype mogą nieść w sobie niebezpieczeństwo. W końcu to nie są programy, które uruchomione mogłyby coś popsuć w komputerze. Zapominamy czasem, że w interpretatorach tych plików mogą tkwić błędy, które spowodują wykonanie kodu zawartego w podsuniętych przez hackera, pozornie niegroźnych zbiorach danych. Ciekawe która z "zaufanych" aplikacji będzie następna? Może będą to te, które umożliwiają składanie podpisu elektronicznego? W końcu tam też przetwarzany jest zbiór danych stanowiący podpis dołączony do oryginalnego pliku.

Wedle danych Skype Technologies, z programu Skype korzysta obecnie ok. 61 mln użytkowników na całym świecie.

Więcej informacji o dziurach w komunikatorze można znaleźć na stronach firm Secunia oraz Skype.


Zobacz również