Untungnya, Anda dapat menghindari masalah sepenuhnya dengan mengganti versi "desktop" Skype dengan yang tersedia dari Microsoft Store. Namun, memalukan perangkat lunak Microsoft sendiri memiliki kelemahan mendasar ini, dan eksploit yang dipermasalahkan adalah salah satu Redmond telah memperingatkan pengembang lain tentang beberapa kali.
Inilah cara kerja exploit ini, dan bagaimana Anda dapat memastikan Anda menggunakan Skype versi Windows Store yang aman.
Apa yang Salah Dengan Skype?
Memperbarui perangkat lunak seharusnya membuat Anda tetap aman, tetapi ironisnya dalam kasus Skype, memperbarui adalah masalahnya. Itu karena cacat di sini bukan dengan Skype itu sendiri, melainkan alat yang digunakan Skype untuk menemukan dan memasang pembaruan. Alat pembaruan ini rentan terhadap DLL hjjacking, seperti yang peneliti Stefan Kanthak uraikan:
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
Pada dasarnya, Skype menjalankan DLL dari folder Temp, yang dapat diakses pengguna tanpa hak administrator. Hal ini membuatnya sepele bagi aktor jahat untuk mengganti DLL dan mendapatkan kontrol tingkat sistem terhadap komputer Anda. Ini adalah jenis kerentanan yang secara khusus diperingatkan oleh Microsoft untuk dihindari oleh pengembang, tetapi tim Skype Microsoft tampaknya telah melewatkan memo tersebut.
Dan itu semakin parah. Microsoft mengatakan kepada Kanthak bahwa mereka “dapat mereproduksi masalah,” tetapi tidak akan ada penerbitan patch yang diterbitkan untuk menyelesaikan masalah. Sebaliknya, Microsoft berencana memecahkan masalah selama rilis besar Skype berikutnya - tidak jelas kapan itu akan terjadi.
Itu … tidak ideal. Untungnya, ada alternatif.
Solusi: Gunakan Versi Windows Store
Microsoft menawarkan dua versi Skype untuk Windows: versi "Desktop", yang sudah ada sejak lama, dan versi Universal Windows Platform (UWP), yang dapat Anda unduh dari aplikasi Microsoft Store yang dibundel dengan Windows. Hanya versi desktop yang rentan terhadap eksploitasi khusus ini, karena hanya versi desktop yang menggunakan alat pembaruannya sendiri.
Microsoft telah mendorong pengguna ke versi Microsoft Store Skype untuk sementara waktu: halaman unduh Skype mengarahkan pengguna ke Store, misalnya. Tetapi banyak pengguna masih memiliki versi desktop pada sistem mereka, dan mereka harus menghapus itu dan hanya menggunakan versi Store jika mereka ingin tetap aman dari eksploitasi ini.
Bagaimana Anda bisa tahu versi mana yang Anda miliki? Cara termudah adalah mencari "Skype" di menu mulai. Jika Anda melihat kata-kata "Aplikasi Toko Microsoft Tepercaya" di bawah nama Skype, Anda mungkin tertutup.
Berikut versi Microsoft Store:
Sangat disayangkan bahwa Microsoft tidak akan hanya menambal kerentanan ini, tetapi setidaknya ada versi kerja Skype yang dikunci. Dan sementara antarmuka dan fitur dari versi Microsoft Store akan menjadi penyesuaian, hal-hal seperti menelepon dan mengobrol berfungsi dengan baik dalam pengujian kami, bahkan jika antarmuka menawarkan opsi yang lebih sedikit. Dan hei: tidak ada iklan jelek di versi Store, jadi itu plus.
