Falla en PostThreadMessage permite finalizar procesos

Falla en PostThreadMessage permite finalizar procesos
	VSantivirus No. 1186 Año 7, Lunes 6 de octubre de 2003 Falla en PostThreadMessage permite finalizar procesos http://www.vsantivirus.com/vul-postthread.htm Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Una vulnerabilidad en la función API de Windows, PostThreadMessage, permite que un atacante pueda matar en forma arbitraria cualquier proceso activo en la máquina atacada. La vulnerabilidad afecta a todas las versiones de este sistema operativo, y se produce por la forma en que los procesos manejan los mensajes enviados con PostThreadMessage(), una función API (Application Program Interface), que permite el envío de mensajes entre diferentes procesos de un mismo hilo. Si un proceso en ejecución con un mensaje en espera, recibe otro mensaje bajo determinadas circunstancias, dicho proceso puede ser finalizado. Esta terminación ocurrirá sin importar la diferencia que pueda existir entre los niveles de seguridad de los distintos procesos. Tampoco importa que se requiera una contraseña para terminar un proceso, ni ninguna otra medida de protección similar. Esta vulnerabilidad se produce por un error de diseño en Windows. La función PostThreadMessage ubica un mensaje en la lista de espera de un hilo especificado, y retorna sin aguardar que se procese dicho mensaje. Pero esta función falla si el hilo no tiene un mensaje en espera aún. El sistema crea un mensaje en la lista de espera, cuando el hilo realiza su primera llamada a una función USER o GDI. Un exploit podría finalizar cualquier proceso activo correspondiente a cortafuegos, aplicaciones antivirus, o cualquier otro software crítico para el funcionamiento del sistema. No existen soluciones disponibles a este problema. Referencias: Process Killing - Playing with PostThreadMessage http://www.securityfocus.com/archive/1/339947 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com