Sicherheitslücke: Emojis bringen Skype for Business zum Abstürzen

Wer Freunde und Familie hat, die nicht um die Ecke sondern eventuell in einem anderen Land oder gar auf einem anderen Kontinent wohnen, kennt wahrscheinlich Skype. Es ist einer der bekanntesten Videochat-Messenger mit mehreren Millionen Nutzern weltweit. Die Anwendung ist kostenlos, einfach zu nutzen und es gibt sogar eine Version für Unternehmen, nämlich Skype für Business, bzw. Microsoft Lync.

Wie die meisten Messenger kann man auch in Skype for Business Emojis versenden – was in diesem Fall leider auch das Problem ist: Werden zu viele davon (um die 800) ins Chatfenster gespammt, friert die Anwendung ein.

Der süßeste Denial of Service-Angriff den es gibt

Die Sicherheitslücke, die auch unter dem Namen CVE-2018-8546 geführt wird, wurde von Sec-Consults entdeckt und betrifft Lync 2013 (15.0) 64-Bit welcher Teil des  Microsoft Office Professional Plus 2013 ist, sowie Skype for Business 2016 MSO (16.0.93).64-Bit. Alle vorhergehenden Versionen sind für den Angriff auch anfällig.

Eigentlich ist so gut wie nichts einfacher, als diese Lücke auszunutzen. Alles was man machen muss ist Emojis in den Chat zu spammen. 100 sind ein Anfang, 400 sind besser, und wenn man 800 nutzt ist laut Sec-Consults der Jackpot geknackt; Skype for Business friert nun für einige Sekunden ein während versucht wird die grafische Benutzeroberfläche zu rendern. Was sich im ersten Moment gar nicht so schlimm anhört, kann zu einer echten Plage werden: wenn ein Angreifer kontinuierlich Nachrichten mit zum Beispiel 800 Katzenemojis spammt, wird das GUI im Prinzip für den Anwender unbenutzbar.

Video und Sound Streams nicht betroffen

Es ist allerdings nicht alles verloren: Für Spach- und Videochats  ist ein anderer Thread verantwortlich, weswegen sie von der Sicherheitslücke nicht betroffen sind.

Microsoft hat bereits einen Patch herausgegeben, wer seine Programme also aktuell hält, sollte keinerlei Probleme haben. Wem es aus unerfindlichen Gründen nicht möglich ist Skype for Business zu aktualisieren, kann auch eine andere Option nutzen: Die Emoticons in den Optionen ausschalten. Dazu muss man nur auf Tools ->Options ->IM -> Show emoticons in messages gehen und den Haken entfernen.

Dieser Artikel ist auch verfügbar in: Englisch

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.