Показано с 1 по 6 из 6.

Уязвимость в реестре microsoft windows

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

    Уязвимость в реестре microsoft windows

    Дата выхода: 2005-08-26
    Опасность: Низкая
    Локально: Да
    Удаленно: Нет

    Описание:
    Уязвимость была обнаружена в Microsoft Windows, она может быть эксплуатирована локальным атакующим или вредоносной программой для маскировки некоторой информации. Уязвимость происходит от ошибки на уровне редактора реестра "regedt32.exe", который не отображает некоторые чрезмерно длинные ключи, что может быть использовано вирусом или злоумышленником для маскировки некоторых ключей в системном реестре windows.

    Уязвимые версии:
    Microsoft Windows XP
    Microsoft Windows 2000

    Решение:
    Отсутствует

    по материалам k-otik.com

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    В реестре Windows можно прятать вредоносное ПО.
    Злоумышленники могут прятать свои программы в Windows-ПК при помощи очень длинных ключей реестра, предупреждают секьюрити-эксперты.

    Эти ключи находятся в Windows Registry, важном компоненте операционной системы, где хранятся параметры настройки ПК. Некоторые антивирусные и антишпионские продукты сканируют реестр на наличие вредоносных программ, но эта новая уловка позволяет хакерам прятать такие программы, утверждает поставщик секьюрити-ПО StillSecure. «Ее можно использовать для сокрытия в системе вредоносных программ, которые не будут обнаруживаться инструментами защиты или средствами сканирования реестра», — предупреждает главный технолог StillSecure Митчелл Эшли. StillSecure утверждает, что обнаружение или устранение этих программ затруднено или даже невозможно.

    В четверг организация SANS Internet Storm Center, которая наблюдает за интернет-угрозами, привела перечень некоторых приложений, которые можно обмануть при помощи слишком длинных ключей. В него входят AdAware, Microsoft Windows AntiSpyware, HijackThis, Norton SystemWorks 2003 Pro, Microsoft Windows Registry Editor и WinDoctor. «Пользователям важно знать, есть ли белые пятна в безопасности их локальной системы, — пишет на веб-сайте SANS ISC сотрудник SANS Роберт Данфорд. — Поэтому в ближайшие недели нужно будет внимательно следить за обновлениями». Данфорд сотрудничает также с командой распространения секьюрити-предупреждений StillSecure.

    Особенно опасны так называемые ключи run реестра. Они используются для запуска приложений при загрузке Windows. Microsoft Registry Editor и некоторые популярные секьюрити-программы не обнаруживают слишком длинные ключи в Windows Registry, тем не менее приложения будут запускаться, предупреждает Эшли из StillSecure. «Авторам шпионского ПО будет очень легко спрятать в вашей машине слишком длинный ключ», — говорит он.

    В пятницу представитель Microsoft сказал, что компания изучает проблему. Производитель ПО отмечает, что атакующий не может спрятать таким способом ничего, предварительно не взломав систему. «Эта проблема не позволяет злоумышленнику дистанционно или локально атаковать компьютер пользователя. Для этого он должен предварительно взломать защиту или убедить пользователя исполнить специальную программу».

    По словам представителя Microsoft, это не уязвимость, а функция операционной системы, которую можно использовать не по назначению. Microsoft не известно ни о каких случаях использования этого метода сокрытия программ.

    Однако SANS в четверг сообщила, что она начала изучать «некоторые сообщения о злонамеренном ПО, которые могут относиться к использованию такого метода маскировки». Организация надеется, что в ближайшие недели производители ПО исправят свои продукты, с тем чтобы они позволяли видеть такие ключи.

    Секьюрити-компания Secunia оценивает проблему реестра Windows как «некритическую». Французская Security Incident Response Team тоже присвоила ей «низкий уровень риска».

  4. #3
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Проблема не в АПИ, а в коротких буферах. Подняли, тоже мне, шумиху... =)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Эксперты SANS считают, что брешь явно недооценили. Специалистам SANS удалось добавить в реестр очень длинную запись, в результате чего ни regedit, ни regedt32 ее вообще не отобразили. Более того, если в тот же ключ добавлять новые записи после уже созданной, они тоже не будут отображаться (даже если они короткие).

    ...Такой же проблемой страдают и многие сканеры антивирусных и других программ: они не идут далее очень длинного ключа.

    ...Некоторые компании уже регистрируют вредоносные коды, использующие новую брешь. Пока их мало, но они замечены в "диком виде". Более того, уже опубликован список сканеров, некорректно реагирующих на сверхдлинные ключи реестра: Spybot Search & Destroy, Symantec SystemWorks, Microsoft Windows AntiSpyware.


    Подробнее там: http://www.fcenter.ru/

  6. #5
    Geser
    Guest
    Цитата Сообщение от shu_b
    Эксперты SANS считают, что брешь явно недооценили. Специалистам SANS удалось добавить в реестр очень длинную запись, в результате чего ни regedit, ни regedt32 ее вообще не отобразили. Более того, если в тот же ключ добавлять новые записи после уже созданной, они тоже не будут отображаться (даже если они короткие).

    ...Такой же проблемой страдают и многие сканеры антивирусных и других программ: они не идут далее очень длинного ключа.

    ...Некоторые компании уже регистрируют вредоносные коды, использующие новую брешь. Пока их мало, но они замечены в "диком виде". Более того, уже опубликован список сканеров, некорректно реагирующих на сверхдлинные ключи реестра: Spybot Search & Destroy, Symantec SystemWorks, Microsoft Windows AntiSpyware.


    Подробнее там: http://www.fcenter.ru/
    А АВЗ справляется?

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Geser
    А АВЗ справляется?
    Справляется Там динамические буфера ... А вот антиспайверы многие на этом выбиваются, причем насмерть.

Похожие темы

  1. Ответов: 4
    Последнее сообщение: 11.06.2010, 13:48
  2. Уязвимость в службе Server в Microsoft Windows
    От ALEX(XX) в разделе Уязвимости
    Ответов: 14
    Последнее сообщение: 28.10.2008, 20:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00674 seconds with 17 queries