[Vulnerable] Ejecución remota de códig o con GRPCONV.EXE

11/07/2004 - 19:04 por Ille Corvus | Informe spam
Ejecución remota de código con GRPCONV.EXE
http://www.vsantivirus.com/vul-grpconv.htm


GRPCONV.EXE es el conversor de grupos para el Administrador de
programas de Windows.

Ha sido reportado un desbordamiento de búfer en este componente
(buffer overflow), que puede provocar la ejecución arbitraria de
archivos en forma remota.

El búfer es un área determinada en la memoria, usada por una
aplicación para guardar ciertos datos necesarios para su
funcionamiento. Esta área tiene un tamaño previamente definido en el
programa, pero si se envían más bytes de los permitidos, la
información sobrepasa los límites impuestos, cayendo en muchos casos
sobre partes ejecutables del código principal. Un uso malintencionado
de estos datos, puede hacer que esa parte contenga instrucciones
preparadas para activar ciertas acciones no pensadas por el
programador de la aplicación.

En el caso del GRPCONV.EXE, se produce por un error del programa al no
validar correctamente el nombre de un archivo enviado como parámetro.

Un atacante podría crear un archivo malicioso y ofrecérselo a la
víctima para explotar esta vulnerabilidad. En forma adicional se ha
demostrado que la misma puede explotarse utilizando otras
vulnerabilidades, cuando un sitio web malicioso es visualizado por la
víctima en ciertos navegadores (no solo Internet Explorer).

La explotación del fallo puede dificultarse, debido a que los
parámetros deben almacenarse en formato Unicode. Este método utiliza
dos bytes por cada carácter, en lugar de uno como el formato ASCII
clásico.

El fallo afecta a los sistemas operativos Microsoft Windows NT, 2000 y
XP.

No existen exploits conocidos de este fallo, y tampoco hay respuesta
de Microsoft al mismo.


Créditos: Andreas Sandblad


Referencias:

Microsoft Windows Program Group Converter Filename
Local Buffer Overrun Vulnerability
http://www.securityfocus.com/bid/10677/info/

Microsoft Technet Security
http://www.microsoft.com/technet/security


Relacionados:

Shell.Application, burla el parche de Microsoft
http://www.vsantivirus.com/vul-shel...cation.htm

Mozilla vulnerable al uso malicioso de "shell:"
http://www.vsantivirus.com/vul-mozilla-shell.htm

¿Qué es Unicode?
http://www.vsantivirus.com/unicode.htm


Meritorios de Filtrado (Kill-File Global):
tella llop, jm (N.B. 2003.10.25)


«Prefiero molestar con la verdad que complacer con adulaciones (Lucio Anneo Seneca)»

Preguntas similare

Leer las respuestas

#1 Anonimo
11/07/2004 - 19:14 | Informe spam
¿ya aprendiste inglés?

JA JA JA JA

el pajaro bobo ataca de nuevo

Ejecución remota de código con GRPCONV.EXE
http://www.vsantivirus.com/vul-grpconv.htm


GRPCONV.EXE es el conversor de grupos para el


Administrador de
programas de Windows.

Ha sido reportado un desbordamiento de búfer en este


componente
(buffer overflow), que puede provocar la ejecución


arbitraria de
archivos en forma remota.

El búfer es un área determinada en la memoria, usada por


una
aplicación para guardar ciertos datos necesarios para su
funcionamiento. Esta área tiene un tamaño previamente


definido en el
programa, pero si se envían más bytes de los permitidos,


la
información sobrepasa los límites impuestos, cayendo en


muchos casos
sobre partes ejecutables del código principal. Un uso


malintencionado
de estos datos, puede hacer que esa parte contenga


instrucciones
preparadas para activar ciertas acciones no pensadas por


el
programador de la aplicación.

En el caso del GRPCONV.EXE, se produce por un error del


programa al no
validar correctamente el nombre de un archivo enviado


como parámetro.

Un atacante podría crear un archivo malicioso y


ofrecérselo a la
víctima para explotar esta vulnerabilidad. En forma


adicional se ha
demostrado que la misma puede explotarse utilizando otras
vulnerabilidades, cuando un sitio web malicioso es


visualizado por la
víctima en ciertos navegadores (no solo Internet


Explorer).

La explotación del fallo puede dificultarse, debido a que


los
parámetros deben almacenarse en formato Unicode. Este


método utiliza
dos bytes por cada carácter, en lugar de uno como el


formato ASCII
clásico.

El fallo afecta a los sistemas operativos Microsoft


Windows NT, 2000 y
XP.

No existen exploits conocidos de este fallo, y tampoco


hay respuesta
de Microsoft al mismo.


Créditos: Andreas Sandblad


Referencias:

Microsoft Windows Program Group Converter Filename
Local Buffer Overrun Vulnerability
http://www.securityfocus.com/bid/10677/info/

Microsoft Technet Security
http://www.microsoft.com/technet/security


Relacionados:

Shell.Application, burla el parche de Microsoft
http://www.vsantivirus.com/vul-shel...cation.htm

Mozilla vulnerable al uso malicioso de "shell:"
http://www.vsantivirus.com/vul-mozilla-shell.htm

¿Qué es Unicode?
http://www.vsantivirus.com/unicode.htm


Meritorios de Filtrado (Kill-File Global):
tella llop, jm (N.B. 2003.10.25)


«Prefiero molestar con la verdad que complacer con


adulaciones (Lucio Anneo Seneca)»
.

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida