SV.PIPE.CONST
パイプのハイジャックの可能性
FILE_FLAG_FIRST_PIPE_INSTANCE パラメーターが、CreateNamedPipe 関数で使用されていない場合、パイプが既存ファイルに優先して作成され、悪意のあるユーザーがセキュリティ上の機密データを取得し、おそらく任意のコードを実行することができます。
SV.PIPE.CONST チェッカーは、CreateNamedPipe 関数が FILE_FLAG_FIRST_PIPE_INSTANCE なしで使用されているインスタンスを探します。
脆弱性とリスク
名前付きパイプと共有ファイルは、システムのセキュリティを低下させる可能性があるので、無許可のユーザーが正当なユーザーのユーザー名やその他の機密情報を取得することができます。この脆弱性による主なリスクは、悪意のあるユーザーが追加の権限を取得し、パイプをハイジャックして任意のプログラムを実行できるようになることです。
軽減と防止
FILE_FLAG_FIRST_PIPE_INSTANCE フラグを CreateNamedPipe で 2 番目の引数として使用すると、作成中のパイプの完成が確実に防止されるので、パイプハイジャック攻撃を防ぐことができます。
脆弱コード例
hPipe = CreateNamedPipe(
lpszPipename, // pipe name
PIPE_ACCESS_DUPLEX, // read/write access
PIPE_TYPE_MESSAGE | // message type pipe
PIPE_READMODE_MESSAGE | // message-read mode
PIPE_WAIT, // blocking mode
PIPE_UNLIMITED_INSTANCES, // max. instances
BUFSIZE, // output buffer size
BUFSIZE, // input buffer size
0, // client time-out
NULL); // default security attributeKlockwork はこのコードにフラグを立てますが、それは FILE_FLAG_FIRST_PIPE_INSTANCE パラメーターが CreateNamedPipe 関数で使用されていないからです。このコードでは、パイプが既存ファイルに優先して作成されるため、悪意のあるユーザーがセキュリティ上の機密データを取得し、おそらく任意のコマンドを実行することができます。
修正コード例
hPipe = CreateNamedPipe(
lpszPipename, // pipe name
FILE_FLAG_FIRST_PIPE_INSTANCE |
PIPE_ACCESS_DUPLEX, // read/write access
PIPE_TYPE_MESSAGE | // message type pipe
PIPE_READMODE_MESSAGE | // message-read mode
PIPE_WAIT, // blocking mode
PIPE_UNLIMITED_INSTANCES, // max. instances
BUFSIZE, // output buffer size
BUFSIZE, // input buffer size
0, // client time-out
NULL); // default security attribute修正コード例では、FILE_FLAG_FIRST_PIPE_INSTANCE パラメーターが使用されており、パイプが既存ファイルに優先して作成されることはありません。
外部参考資料
セキュリティトレーニング
Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。
