NcN 2017 – WinregMITM: Inyectando código remotamente en el registro de Windows

Santiago Hernández Ramos

NcN 2017 - WinregMITM: Inyectando código remotamente en el registro de Windows

En esta ponencia se presenta un análisis de los problemas de seguridad en la implementación del protocolo de Registro Remoto de los últimos sistemas operativos Windows (como Windows 10). El análisis muestra como estas debilidades pueden ser usadas por una atacante mediante la aplicación de la técnica de man in the middle para la escritura de datos arbitrarios en el Registro de Windows del equipo de la víctima, y en consecuencia, la ejecución de código remota. La inserción de estos valores no es trivial, debido a que la modificación del tamaño de un campo de un determinado paquete de red causa inconsistencia en los campos de control de las capas inferiores (como los campos de longitud o checksums). Además, el siguiente número de secuencia de un paquete en una sesión TCP/IP se basa en la longitud del paquete, causando la ruptura de la conexión.