Rynho Zeros Web

Publicidad

Aviso: Ejecución inesperada de código con REGEDIT.EXE
Fecha original: 18/abr/03
Aplicación vulnerable: Editor del registro REGEDIT.EXE
Severidad: Media
Impacto: Ejecución de código en forma involuntaria
Solución: No disponible
Vendedor: Microsoft

Esta vulnerabilidad en el editor del registro de Windows
(archivo REGEDIT.EXE), permite que un atacante pueda hacer
que su víctima (el usuario de la computadora), ejecute código
en forma local, al visualizar éste con dicho editor, el
registro de Windows, que previamente debe haber sido
modificado.

La falla está en la función “RegEnumValueW”, mal utilizada
por REGEDIT, que permite que cuando un usuario visualiza con
el editor determinada rama del registro, se pueda ejecutar
sin su conocimiento, cualquier clase de código en forma
local.

Por ejemplo, basta visualizar una rama cualquiera,
aparentemente inocente como esta:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

Cuando el usuario abre dicha rama con REGEDIT, se puede hacer
que se ejecute un código previamente insertado en el registro
(tal vez con la ayuda de un virus o un troyano). En el caso
de un servidor, ésta ejecución sería hecha con los
privilegios del administrador del mismo (root).

No hay solución oficial para el problema. Se sugiere en el
caso de usuarios de Windows NT, 2000 y XP, utilizar en lugar
de REGEDIT.EXE, el ejecutable REGEDT32.EXE, presente también
en estas versiones.

En dichas versiones de Windows, existen estas dos
herramientas para editar el registro (REGEDIT y REGEDT32).
Las facilidades de búsqueda que ofrece la primera son
mejores, pero ésta no soporta todos los tipos de valores del
registro usados por estos Windows (por ejemplo, no soporta
los tipos REG_EXPAND_SZ y REG_MULTI_SZ).

La vulnerabilidad solo afecta a REGEDIT, no a REGEDT32.
Windows 95, 98 y Me solo poseen REGEDIT como editor del
registro.

El código del exploit, con un ejemplo que abre el bloc de
notas y muestra un texto en pantalla, está disponible en
Internet.

Solución: futura actualización de Microsoft (no disponible
aún).

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

Publicidad

Otros articulos que te pueden interesar

• Denegacion de Servicio en AIX 4.3.3 y 5.1.0
• Ocultamiento de información en editor de registro
• W32/Parved. Muestra un icono de ”Shockwave Flash”
• Troj/Gaslide.Int. Por una falla, causa inestabilidad
• Sobre las zonas de seguridad en Windows