安全研究
安全漏洞
WatchGuard ServerLock未授权内核模块装载漏洞
发布日期:2003-07-17
更新日期:2003-07-23
受影响系统:WatchGuard ServerLock 2.0.2
WatchGuard ServerLock 2.0.1
WatchGuard ServerLock 2.0
不受影响系统:WatchGuard ServerLock 2.0.4
WatchGuard ServerLock 2.0.3
描述:
BUGTRAQ ID:
8222
WatchGuard ServerLock是一款用于保护操作系统完整性的工具,可使任何人不能修改部分文件,部分注册表键值和装载未明驱动。
WatchGuard ServerLock存在DLL注入问题,本地攻击者可以利用这个漏洞通过ZwSetSystemInformation()函数装载任意模块到Windows 2000内核,可绕过安全限制。
WatchGuard ServerLock对"HKLM\System\CurrentControlSet\Services"键值,和替代"\Winnt\System32\drivers"目录中的文件,及调用ZwSetSystemInformation()都做了限制。不过ServerLock允许可信任程序调用ZwSetSystemInformation()函数。攻击者可以把恶意程序存放在"\WINNT\system32\drivers\"目录中,通过DLL注入手段,迫使可信进程执行ZwSetSystemInformation()函数,把恶意程序装载到内核中。
<*来源:Jan K. Rutkowski (
jkrutkowski@elka.pw.edu.pl)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=105848106631132&w=2
*>
建议:
厂商补丁:
WatchGuard
----------
ServerLock 2.0.3及之后的版本不存在此漏洞,可访问WatchGuard LiveSecurity website获得相关信息:
https://www.watchguard.com/archive/softwarecenter.asp浏览次数:2792
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |