Programm zum lokalen Schutz von Windows 2000 lässt sich austricksen
Durch Fehler in WatchGuards ServerLock kann die Zugriffskontrolle umgangen werden.
Auf Securitytracker wird von einem Fehler in WatchGuards ServerLock berichtet. Das Programm dient zum Schutz von Windows 2000 bei möglichen lokalen Zugriffen. Durch eine erweiterte Kontrolle der Zugriffsrechte und einen Integritätscheck soll ein Benutzer daran gehindert werden, Module und Treiber nachzuladen, die eigenen Code enthalten könnten. Serverlock Version 2.0.2 und alle vorherigen weisen einen Fehler auf, mit dem ein Angreifer dies umgehen kann. Der Hersteller ist informiert und hält auf seinen Seiten einen Patch bereit.
Ein lokaler Benutzer kann mit der OpenProcess()-Funktion beliebige Bibliotheken (DLL-Injection) in den Adressraum eines Prozesses einschleusen und dort ausfĂĽhren. Unter ServerLock werden laufende Prozesse als "Trusted" markiert, sodass die injizierte DLL in diesem Kontext arbeitet. Diese kann durch den Aufruf einer weiteren Funktion (ZwSetSystemInformation) Treiber nachladen.
Unter Windows 2000 lässt sich auch mit Bordmitteln das System bei lokalen Zugriffen schützen. Die Security Management Console verbietet -- wenn den entsprechenden Sicherheitsrichtlinien eingerichtet sind -- ebenfalls das Nachladen von Treibern und Modulen. (dab)
