VULHUB ™

WatchGuard ServerLock是一款用于保护操作系统完整性的工具，可使任何人不能修改部分文件，部分注册表键值和装载未明驱动。 WatchGuard ServerLock存在DLL注入问题，本地攻击者可以利用这个漏洞通过ZwSetSystemInformation()函数装载任意模块到Windows 2000内核，可绕过安全限制。 WatchGuard ServerLock对\"HKLM＼System＼CurrentControlSet＼Services\"键值，和替代\"＼Winnt＼System32＼drivers\"目录中的文件，及调用ZwSetSystemInformation()都做了限制。不过ServerLock允许可信任程序调用ZwSetSystemInformation()函数。攻击者可以把恶意程序存放在\"＼WINNT＼system32＼drivers＼\"目录中，通过DLL注入手段，迫使可信进程执行ZwSetSystemInformation()函数，把恶意程序装载到内核中。

WatchGuard ServerLock是一款用于保护操作系统完整性的工具，可使任何人不能修改部分文件，部分注册表键值和装载未明驱动。 WatchGuard ServerLock存在DLL注入问题，本地攻击者可以利用这个漏洞通过ZwSetSystemInformation()函数装载任意模块到Windows 2000内核，可绕过安全限制。 WatchGuard ServerLock对\"HKLM＼System＼CurrentControlSet＼Services\"键值，和替代\"＼Winnt＼System32＼drivers\"目录中的文件，及调用ZwSetSystemInformation()都做了限制。不过ServerLock允许可信任程序调用ZwSetSystemInformation()函数。攻击者可以把恶意程序存放在\"＼WINNT＼system32＼drivers＼\"目录中，通过DLL注入手段，迫使可信进程执行ZwSetSystemInformation()函数，把恶意程序装载到内核中。