Vulnerabilidad en Editor del Registro de Windows permite ocultar información

Por marcelo-ar - 24 de Agosto, 2005, 20:33, Categoría: General

El Editor del Registro de Microsoft para Windows 2000/XP (Regedt32.exe) tiene un defecto de diseño que permite ocultar información del registro de modo que no sea visible al editarlo.

Pasos para reproducir este comportamiento:
- Ejecute Regedt32.exe
- Cree una clave, por ejemplo:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Empty
- En esta clave cree cualquier Nombre de Valor que exceda 256 caracteres (260 es el máximo)
- Oprima F5 (refrescar) y verá como la clave desaparece mágicamente
- Ahora cree cualquier clave dentro de:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Empty
y presione F5 nuevamente. Esta no será visible mediante el Editor del Registro.

Posible explotación de esta debilidad en Regedt32.exe:
Un virus/gusano puede crear una clave como ésta para ocultar su ejecución en
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Este problema ha sido confirmado en Windows XP SP2 con todos los parches al día y en Windows 2000.
Otras versiones también podrían estar afectadas.

Créditos:
Descubierto por Igor Franchuk

Reporte original:
[Full-disclosure] Miscrosoft Registry Editor 5.1/XP/2K long string key vulnerability

Referencias:
Re: [Full-disclosure] Miscrosoft Registry Editor 5.1/XP/2K long string key vulnerability
Secunia Advisory: SA16560

El Blog

Calendario

     Agosto 2005  >>
LMMiJVSD
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31     

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker