'Vulnerabilidad': Microsoft Windows en REGEDT32.EXE (Registry Editor Utility)

25/08/2005 - 18:42 por 1x4x9 | Informe spam
Vulnerabilidad *no critica* seguir las recomendaciones de VSantivirus
y Secunia actualiza el programa antivirus. Existe una utilidad de
Sysinternal "AutoRuns" [1], para poder comprobar que se incia al
principio de Windows, mas completa que la que viene por defecto en el
sistema "msConfig".

[1] http://www.sysinternals.com/utiliti...oruns.html
Utilidad gratuita.


Ocultamiento de información en editor de registro
http://www.vsantivirus.com/vul-regedt32-240805.htm

Por Angela Ruiz
angela@videosoft.net.uy

Se ha divulgado la existencia de una debilidad en Microsoft Windows,
que podría ser explotada para esconder cierta información.

El problema está causado por un error en la herramienta de edición del
registro REGEDT32.EXE (Registry Editor Utility), que se produce cuando
la misma maneja cadenas de valores del registro con nombres
excesivamente largos. Esto produce que dicha cadena, y las creadas a
partir de la misma, no sean mostradas en el editor.

Una explotación exitosa de este fallo, puede hacer posible que un
malware pueda ocultar su presencia en una clave como RUN dentro del
registro, porque aunque no sea visualizada, la misma podrá ejecutarse.

La debilidad ha sido confirmada en Windows XP SP2 con todos los
parches, y en Windows 2000. Otras versiones también podrían ser
afectadas.

Nota VSA: claves como "HKLM \SOFTWARE \Microsoft \Windows
\CurrentVersion \Run" o "HKCU \Software \Microsoft \Windows
\CurrentVersion \Run", son utilizadas para ejecutar un programa cada
vez que el usuario inicia su sesión. También los virus suelen
utilizarlas para autoejecutarse en cada reinicio.

La ocultación del contenido de esta clave, solo dificultará la
limpieza manual de una infección, pero no afectará la detección y/o
eliminación del virus por parte de un antivirus. Por ello se
recomienda mantener actualizados los mismos.


Software vulnerable:

- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Server
- Microsoft Windows XP Home Edition
- Microsoft Windows XP Professional


Solución:

No hay ningún parche o actualización para esta debilidad de Windows al
momento actual.

Se recomienda el uso de antivirus actualizado.


Relacionados:
Windows Registry Editor Utility String Concealment Weakness
http://secunia.com/advisories/16560/


Créditos:
Igor Franchuk


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Leer las respuestas

#1 Javier Inglés [MS MVP]
25/08/2005 - 18:54 | Informe spam
Por cierto que como bien dicen en secunia, con "reg" y no con msconfig se
puede ver igualmente

Salu2!!
Javier Inglés
MS MVP, Windows Server-Directory Services





"1x4x9" escribió en el mensaje
news:dekse4$sj5$
Vulnerabilidad *no critica* seguir las recomendaciones de VSantivirus
y Secunia actualiza el programa antivirus. Existe una utilidad de
Sysinternal "AutoRuns" [1], para poder comprobar que se incia al
principio de Windows, mas completa que la que viene por defecto en el
sistema "msConfig".

[1] http://www.sysinternals.com/utiliti...oruns.html
Utilidad gratuita.


Ocultamiento de información en editor de registro
http://www.vsantivirus.com/vul-regedt32-240805.htm

Por Angela Ruiz


Se ha divulgado la existencia de una debilidad en Microsoft Windows,
que podría ser explotada para esconder cierta información.

El problema está causado por un error en la herramienta de edición del
registro REGEDT32.EXE (Registry Editor Utility), que se produce cuando
la misma maneja cadenas de valores del registro con nombres
excesivamente largos. Esto produce que dicha cadena, y las creadas a
partir de la misma, no sean mostradas en el editor.

Una explotación exitosa de este fallo, puede hacer posible que un
malware pueda ocultar su presencia en una clave como RUN dentro del
registro, porque aunque no sea visualizada, la misma podrá ejecutarse.

La debilidad ha sido confirmada en Windows XP SP2 con todos los
parches, y en Windows 2000. Otras versiones también podrían ser
afectadas.

Nota VSA: claves como "HKLM \SOFTWARE \Microsoft \Windows
\CurrentVersion \Run" o "HKCU \Software \Microsoft \Windows
\CurrentVersion \Run", son utilizadas para ejecutar un programa cada
vez que el usuario inicia su sesión. También los virus suelen
utilizarlas para autoejecutarse en cada reinicio.

La ocultación del contenido de esta clave, solo dificultará la
limpieza manual de una infección, pero no afectará la detección y/o
eliminación del virus por parte de un antivirus. Por ello se
recomienda mantener actualizados los mismos.


Software vulnerable:

- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Server
- Microsoft Windows XP Home Edition
- Microsoft Windows XP Professional


Solución:

No hay ningún parche o actualización para esta debilidad de Windows al
momento actual.

Se recomienda el uso de antivirus actualizado.


Relacionados:
Windows Registry Editor Utility String Concealment Weakness
http://secunia.com/advisories/16560/


Créditos:
Igor Franchuk


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Preguntas similares