Vulnerabilidad en Editor del Registro de Windows permite ocultar información

El Editor del Registro de Microsoft para Windows 2000/XP (Regedt32.exe) tiene un defecto de diseño que permite ocultar información del registro de modo que no sea visible al editarlo.

Pasos para reproducir este comportamiento:
- Ejecute Regedt32.exe

- Cree una clave, por ejemplo:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Empty

- En esta clave cree cualquier Nombre de Valor que exceda 256 caracteres (260 es el máximo)

- Oprima F5 (refrescar) y verá como la clave desaparece mágicamente

- Ahora cree cualquier clave dentro de:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Empty
y presione F5 nuevamente. Esta no será visible mediante el Editor del Registro.

Posible explotación de esta debilidad en Regedt32.exe:

Un virus/gusano puede crear una clave como ésta para ocultar su ejecución en

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Este problema ha sido confirmado en Windows XP SP2 con todos los parches al día y en Windows 2000.

Otras versiones también podrían estar afectadas.

Créditos:

Descubierto por Igor Franchuk

Reporte original:

[Full-disclosure] Miscrosoft Registry Editor 5.1/XP/2K long string key vulnerability

http://seclists.org/lists/fulldisclosure/2005/Aug/0801.html

Referencias:

Re: [Full-disclosure] Miscrosoft Registry Editor 5.1/XP/2K long string key vulnerability

http://seclists.org/lists/fulldisclosure/2005/Aug/0814.html

Secunia Advisory: SA16560

http://secunia.com/advisories/16560/