SV.FIU.PROCESS_VARIANTS

特権昇格への露呈

一部のプロセス作成システム呼び出しにより、ローカル権限昇格の危険にさらされています。これらの呼び出しは、ホストプロセスの特権で悪意のあるコードの実行を許可する攻撃に脆弱です。SV.FIU.PROCESS_VARIANTS チェッカーは、次のシステム呼び出しにフラグを立てます。

  • CreateProcess
  • CreateProcessAsUser
  • CreateProcessWithLogon
  • ShellExecute
  • ShellExecuteEx
  • WinExec
  • システム
  • _wsystem
  • _*exec*
  • _*spawn*

脆弱性とリスク

プロセス作成システム呼び出しに、プロセス作成 API を呼び出す前の位置に .exe 実行可能ファイルのフルパスが含まれていない場合、プロセス作成システム呼び出しが攻撃の機会の要因となります。検索パスの脆弱性により、ローカルユーザーは悪意のある .exe ファイルを使用して特権を取得できます。

軽減と防止

攻撃にさらされることを回避するには、次の操作を実行します。

  • fork、execve、および pipe を使用して、プロセスの実行を完全に制御します。
  • Win32 CreateProcess 関数、CreateProcessAsUser 関数、または CreateProcessWithLogonW 関数では、実行している任意コマンドを回避するために null を最初のパラメーター lpApplicationName に渡さないでください。lpApplicationName が null でなければならない場合は、2 番目のパラメーター lpCommandLine のパスの前後に二重引用符を使用します。
CreateProcess(NULL, "\"C:\Program Files\foo.exe\" -L -S", ...)

詳細については、C ランタイムと Windows API がセキュリティに及ぼす影響 を参照してください。

脆弱コード例 1

コピー
  #include <stdio.h>
  #include <sys/types.h>
  #include <sys/stat.h>
  
  int main(int argc, char *argv[]) {
    int fd;
  
    if ((fd = open(argv[1], 0)) == -1) {
      error("can't open %s", argv[1]);
     return -1;
   }
   if (argc == 2) {/* execute command */
     if (execlp ("/bin/sh/", "sh", "-c", argv[1], (char*) 0)) {
 
         /* some code */
       } else {
         error("can't execute %s", argv[1]);
       }
   }
 }

Klocwork は 13 行目で、関数 execlp の使用にフラグを立てます。このシステム呼び出しにより、悪意のある .exe ファイルを通じてローカル権限昇格の危険にさらされる可能性があります。

修正コード例 1

コピー
  #include <stdio.h>
  #include <sys/types.h>
  #include <sys/stat.h>
  
  int main(int argc, char *argv[]) {
    int fd;
  
    if ((fd = open(argv[1], 0)) == -1) {
      error("can't open %s", argv[1]);
     return -1;
   }
   if (argc == 2) {/* execute command */
     if (execve ("/bin/sh/", "sh", "-c", argv[1], (char*) 0)) { 
 
         /* some code */
       } else {
         error("can't execute %s", argv[1]);
       }
   }
 }

修正されたコードでは、関数 execlp は execve に置換されました。これにより、プロセス実行が制御され、特権昇格の可能性が排除されます。

脆弱なコード例 #2

コピー
  #include <stdlib.h>
  /* Execute a program passed as a command-line argument */
  int main(char *argv[])
  {
      system(argv[1]); /* NON-COMPLIANT */

      return 0;
  }

修正コード例 #2

コピー
  #include <stdio.h>
  #include <stdlib.h>
  #include <unistd.h>

  int    main(int argc, char *argv[])
  {
      char *newargv[] = { NULL, "hello", "world", NULL };
      char *newenviron[] = { NULL };
  
     if (argc != 2) {
  
           fprintf(stderr, "Usage: %s <file-to-exec>\n", argv[0]);
  
           exit(EXIT_FAILURE); 
 
     }
     
     newargv[0] = argv[1];
 
     execve(argv[1], newargv, newenviron); /* COMPLIANT */
     perror("execve");                     /* execve() only returns on error */
     exit(EXIT_FAILURE);
 }

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。