Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Ejecución inesperada de código con REGEDIT.EXE
 
VSantivirus No. 1016, Año 7, Sábado 19 de abril de 2003

 Ejecución inesperada de código con REGEDIT.EXE
http://www.vsantivirus.com/vul-regedit.htm

Aviso: Ejecución inesperada de código con REGEDIT.EXE
Fecha original: 18/abr/03
Aplicación vulnerable: Editor del registro REGEDIT.EXE
Severidad: Media
Impacto: Ejecución de código en forma involuntaria
Solución: No disponible
Vendedor: Microsoft

Esta vulnerabilidad en el editor del registro de Windows (archivo REGEDIT.EXE), permite que un atacante pueda hacer que su víctima (el usuario de la computadora), ejecute código en forma local, al visualizar éste con dicho editor, el registro de Windows, que previamente debe haber sido modificado.

La falla está en la función "RegEnumValueW", mal utilizada por REGEDIT, que permite que cuando un usuario visualiza con el editor determinada rama del registro, se pueda ejecutar sin su conocimiento, cualquier clase de código en forma local.

Por ejemplo, basta visualizar una rama cualquiera, aparentemente inocente como esta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

Cuando el usuario abre dicha rama con REGEDIT, se puede hacer que se ejecute un código previamente insertado en el registro (tal vez con la ayuda de un virus o un troyano). En el caso de un servidor, ésta ejecución sería hecha con los privilegios del administrador del mismo (root).

No hay solución oficial para el problema. Se sugiere en el caso de usuarios de Windows NT, 2000 y XP, utilizar en lugar de REGEDIT.EXE, el ejecutable REGEDT32.EXE, presente también en estas versiones.

En dichas versiones de Windows, existen estas dos herramientas para editar el registro (REGEDIT y REGEDT32). Las facilidades de búsqueda que ofrece la primera son mejores, pero ésta no soporta todos los tipos de valores del registro usados por estos Windows (por ejemplo, no soporta los tipos REG_EXPAND_SZ y REG_MULTI_SZ).

La vulnerabilidad solo afecta a REGEDIT, no a REGEDT32. Windows 95, 98 y Me solo poseen REGEDIT como editor del registro.

El código del exploit, con un ejemplo que abre el bloc de notas y muestra un texto en pantalla, está disponible en Internet.

Solución: futura actualización de Microsoft (no disponible aún).




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS