Ny type hull oppdaget i Windows

En ny type sikkerhetshull er oppdaget i Windows: Registry kan gjøres til skjulested for ormer.

Det danske sikkerhetsselskapet Secunia meldte onsdag om et sikkerhetshull i Windows Registry. Hullet kan brukes til å skjule ondsinnet kode fra et stort antall antivirus- og antispionprodukter. Secunia vurderte at hullet var mindre kritisk, selv om det også rammer Windows XP SP2. Det gjorde at medier flest overså det.

Ifølge SANS Internet Storm Center, som har undersøkt hullet nærmere, er det svært alvorlig.

Registry er der Windows lagrer alle sine innstillinger. Sårbarheten går ut på oppføringer lengre enn 254 tegn, ikke vil vises av registry-redigeringsverktøyet regedit, og heller ikke oppdages av de fleste sikkerhetsverktøyene som sjekker registeret.

Det gjør at den ene ormen etter den andre kan legges inn i en «autorun»-oppføring, og forbli uoppdaget.

Blant sikkerhetsverktøyene som per i dag lar seg lure av denne sårbarheten, er Symantec (Norton) og AdAware, i tillegg til Microsofts antispionverktøy.

Både SANS og sikkerhetsselskapet StillSecure bekrefter at det er funnet eksempler i det fri på ondsinnet kode som utnytter sårbarheten. Det skal ennå ikke være registrert noe smittetilfelle.

Microsoft peker på at sårbarheten ikke kan utnyttes direkte til å smitte maskiner. En angriper må først lykkes i å lure en orm som skriver en lang streng inn i registry, inn på offerets maskin, og deretter følge opp med noe som utnytter denne strengen. Microsoft erkjenner at det dreier seg om en alvorlig sårbarhet i registry-funksjonen.

StillSecure mener all sikkerhetsprogramvare må legges om til å kunne lese også svært lange registry-oppføringer.

Til toppen