ケーススタディ

ここでは次の状況を想定しよう。

1. 環境はXP。
2. GuestはGuestユーザーとしてログインしている。
3. Serviceは常にSYSTEM権限で動くサービスプロセスとして動作している。
4. Serviceは定期的に以下の動作を行う。
   1. "C:\Document and Settings\All Users\Application Data\Temp\" というディレクトリがなければ作る。
   2. "C:\Document and Settings\All Users\Application Data\Temp\Service<日付>.tmp" というファイルがなければ作る。
   3. "C:\Document and Settings\All Users\Application Data\Temp\Service<日付>.tmp" にデータを書き込む。

Guestは重要ファイルを破壊するために何をするか。

1. "C:\Document and Settings\All Users\Application Data\Temp\Service<翌日とかの日付>.tmp" というジャンクションを重要ファイルにリンクする形で作成する。

たとえば、

<略>\Temp>junction Service20100201.tmp C:\Windows\system32\ntoskrnl.exe

とする。Guestは依然としてこの重要ファイルに対する書き込み権限は持っていない。
しかしServiceが "Service20100201.tmp" に対して書き込みを行うと、実際には "C:\Windows\system32\ntoskrnl.exe" へ書き込みが行われる。書き込みはServiceの権限、つまりSYSTEM権限で行われるので許可され、結果として ntoskrnl.exe は不正に書き換えられる。

何が拙いのか

冒頭の条件部分の言い換えだけど、もう少し広くとらえると以下が満たされていることが問題の原因となる。

1. 高い権限をもつプロセスが、低い権限のユーザーが書き込み可能なディレクトリに対する書き込みや読み取りを行っている。
2. 書き込みや読み取りを行うパスが予測可能である。
3. 書き込みや読み取りのときに対象の検証を行っていない。

読み取りの場合、ファイルの書き換えは行われないものの、意図しないファイルを読みとらせることが可能になる。この結果、意図しないフォーマットの読み取りで高い権限のプロセスにエラーを引き起こすことができるかもしれない*1。

どうすればよいのか（on Windows）

１については、SYSTEMプロセスの場合 GetTempPath 関数を使うと、Windows ディレクトリ以下の一時フォルダを返す*2。ここは書き込みが制限されているため低い権限からジャンクションが作成されることはなく、安全になる。
２については、GetTempFileName 関数を使うと一意のファイル名を生成できる。そのため既に存在するジャンクションのパスが使われることはなく、安全になる。
３については、パスだけではなく、ファイルのデータなどを参照して検証すれば安全になる。

まとめ

ねこかわいい

補足

実際には「単純に」システムファイルを破壊することはできません。
XPの場合、システムファイルが変更されても既存のキャッシュディレクトリからコピー復元されます（キャッシュディレクトリの中身まで書き換えればこの保護を回避できますが）。Vista以降の場合は、仮にSYSTEM権限であってもシステムファイルを変更できなくなっているので、この状況では問題は起こりません。
が、保護されていない独自のファイルがあったとしたら？　それを破壊することができるかもしれませんね。

セキュリティウォリア―敵を知り己を知れば百戦危うからず

• 作者: サイレスパイカリ,アントンチュバキン,Cyrus Peikari,Anton Chuvakin,西原啓輔,伊藤真浩,岸信之,進藤成純
• 出版社/メーカー: オライリージャパン
• 発売日: 2004/10/01
• メディア: 単行本
• 購入: 5人 クリック: 180回
• この商品を含むブログ (31件) を見る

ちゃんと検証せんかい！　　orz