刚看到CB投递的新版风云防火墙,朋友AYANAMI REI让我看看它的技术到底如何。没想到随便看了下,却发现一些严重的BUG
风云防火墙所有包含主动防御模块的版本,都存在8处以上严重的参数检查漏洞。该漏洞可导致目标机器上任意权限的用户可以使系统蓝屏重启,以达到攻击者的一些进一步提权或其它目的
该漏洞位于风云防火墙驱动程序FYTdiDrv.sys中
在刚刚发布的最新版本中
该驱动通过修改KeServiceDescriptorTable(SSDT)挂钩了多个函数
包括:
ZwCreateKey
ZwCreateSection
ZwTerminateProcess
ZwSetInformationFile
ZwCreateFile
ZwRestoreKey
ZwDeleteValueKey
ZwSetValueKey
ZwCreateKey
这些函数的HOOK处理中都存在严重的参数检查漏洞
没有对用户层传入的指针做任何检查,只靠单一的SEH来保证程序安全
而SEH是无法处理内核指针错误的
只要任何用户态程序传入错误的内核态指针给被挂钩的系统函数,系统就会立即蓝屏