刚看到CB投递的新版风云防火墙，朋友AYANAMI REI让我看看它的技术到底如何。没想到随便看了下，却发现一些严重的BUG

风云防火墙所有包含主动防御模块的版本，都存在8处以上严重的参数检查漏洞。该漏洞可导致目标机器上任意权限的用户可以使系统蓝屏重启，以达到攻击者的一些进一步提权或其它目的

该漏洞位于风云防火墙驱动程序FYTdiDrv.sys中

在刚刚发布的最新版本中

该驱动通过修改KeServiceDescriptorTable(SSDT)挂钩了多个函数

包括:

ZwCreateKey

ZwCreateSection

ZwTerminateProcess

ZwSetInformationFile

ZwCreateFile

ZwRestoreKey

ZwDeleteValueKey

ZwSetValueKey

ZwCreateKey

这些函数的HOOK处理中都存在严重的参数检查漏洞

没有对用户层传入的指针做任何检查，只靠单一的SEH来保证程序安全

而SEH是无法处理内核指针错误的

只要任何用户态程序传入错误的内核态指针给被挂钩的系统函数，系统就会立即蓝屏