Registro di sistema, occhio alle chiavi nascoste

Le Key più lunghe di 254 caratteri non vengono visualizzate dall’editor. La lacuna potrebbe essere sfruttato dai malware

Questa volta è l’Editor del registro di sistema di Windows ad essere
preso di mira. E’ stata infatti scoperta una lacuna nella gestione, da parte
di Windows, di alcune tipologie di chiavi del registro che, sebbene sia di per
sé di scarsa importanza, potrebbe ben presto essere sfruttata per scopi
illeciti.

Il problema consiste nel fatto che qualora si importi o si crei nel registro
di sistema di Windows una normale chiave assegnandole un nome molto lungo (superiore
ai 254 caratteri), questa non viene visualizzata, ad esempio, mediante l’Editor
del registro o tramite altri software similari, sebbene essa sia effettivamente
memorizzata.

Non solo viene celata alla vista la chiave con il nome lungo ma anche tutte
le sottochiavi e le voci eventualmente in essa presenti. Questa lacuna non
è sfruttabile da remoto
ma solo dal sistema locale. Purtuttavia,
il problema potrebbe essere sfruttato da parte di malware per cercare di passare
inosservati.

Un’applicazione "maligna" potrebbe, ad esempio, inserire i suoi
riferimenti all’interno della chiave Run del registro di sistema
assicurandosi, da un lato, di essere automaticamente eseguita ad ogni avvio
di Windows, dall’altra rendendo più difficile il suo riconoscimento.

L’Internet Storm Center di SANS ha pubblicato in questa
pagina
sia la lista delle applicazioni in grado di rilevare e gestire chiavi
di registro con nomi lunghi (AppSense Environment Manager, HiJackThis v1.99.1
(funzione "scan"), HiJackThis v1.99.2, Stillsecure SafeAccess, Sysinternals
Autoruns, Regedt32 di Windows 2000), sia l’elenco dei software che non sarebbero
in grado di rilevare chiavi simili (AdAware, Autoruns 8.13, MS AntiSpyware Beta,
HijackThis v1.97.0.7, HiJackThis v1.99.0, Msconfig di Windows XP, Norton SystemWorks
2003 Pro, RegAlyzer 1.1, RegEdit, reg.exe (in alcune situazioni), Registry Explorer
3.0.0.276, Spybot S&D, WinDoctor v. 7.00.22).

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome