WatchGuard ServerLock未授权内核模块装载漏洞

漏洞信息详情

WatchGuard ServerLock未授权内核模块装载漏洞

• CNNVD编号：CNNVD-200308-188
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-0641
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2003-07-17
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  watchguard
• 漏洞来源：
  Jan K. Rutkowski※ …

WatchGuard ServerLock是一款用于保护操作系统完整性的工具，可使任何人不能修改部分文件，部分注册表键值和装载未明驱动。
WatchGuard ServerLock存在DLL注入问题，本地攻击者可以利用这个漏洞通过ZwSetSystemInformation()函数装载任意模块到Windows 2000内核，可绕过安全限制。
WatchGuard ServerLock对\”HKLM＼System＼CurrentControlSet＼Services\”键值，和替代\”＼Winnt＼System32＼drivers\”目录中的文件，及调用ZwSetSystemInformation()都做了限制。不过ServerLock允许可信任程序调用ZwSetSystemInformation()函数。攻击者可以把恶意程序存放在\”＼WINNT＼system32＼drivers＼\”目录中，通过DLL注入手段，迫使可信进程执行ZwSetSystemInformation()函数，把恶意程序装载到内核中。

厂商补丁：
WatchGuard
———-
ServerLock 2.0.3及之后的版本不存在此漏洞，可访问WatchGuard LiveSecurity website获得相关信息：

https://www.watchguard.com/archive/softwarecenter.asp” target=”_blank”>https://www.watchguard.com/archive/softwarecenter.asp

来源: BID
名称: 8222
链接:http://www.securityfocus.com/bid/8222

来源: BUGTRAQ
名称: 20030717 Bypassing ServerLock protection on Windows 2000
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105848106631132&w=2

来源: XF
名称: serverlock-openprocess-load-module(12665)
链接:http://xforce.iss.net/xforce/xfdb/12665

来源: OSVDB
名称: 6578
链接:http://www.osvdb.org/6578

来源: SECUNIA
名称: 9310
链接:http://secunia.com/advisories/9310