SV.PIPE.CONST

パイプのハイジャックの可能性

FILE_FLAG_FIRST_PIPE_INSTANCE パラメーターが、CreateNamedPipe 関数で使用されていない場合、パイプが既存ファイルに優先して作成され、悪意のあるユーザーがセキュリティ上の機密データを取得し、おそらく任意のコードを実行することができます。

SV.PIPE.CONST チェッカーは、CreateNamedPipe 関数が FILE_FLAG_FIRST_PIPE_INSTANCE なしで使用されているインスタンスを探します。

脆弱性とリスク

名前付きパイプと共有ファイルは、システムのセキュリティを低下させる可能性があるので、無許可のユーザーが正当なユーザーのユーザー名やその他の機密情報を取得することができます。この脆弱性による主なリスクは、悪意のあるユーザーが追加の権限を取得し、パイプをハイジャックして任意のプログラムを実行できるようになることです。

軽減と防止

FILE_FLAG_FIRST_PIPE_INSTANCE フラグを CreateNamedPipe で 2 番目の引数として使用すると、作成中のパイプの完成が確実に防止されるので、パイプハイジャック攻撃を防ぐことができます。

脆弱コード例

コピー
hPipe = CreateNamedPipe( 
       lpszPipename,         // パイプ名 
       PIPE_ACCESS_DUPLEX,     // 読み取り/作成権限 
       PIPE_TYPE_MESSAGE |     // メッセージタイプのパイプ 
       PIPE_READMODE_MESSAGE |  // メッセージ読み取りモード 
       PIPE_WAIT,           // ブロッキングモード 
       PIPE_UNLIMITED_INSTANCES, // インスタンスの最大数  
       BUFSIZE,            // 出力バッファサイズ 
       BUFSIZE,            // 入力バッファサイズ 
       0,                // クライアントのタイムアウト 
       NULL);              // デフォルトのセキュリティ属性

Klockwork はこのコードにフラグを立てますが、それは FILE_FLAG_FIRST_PIPE_INSTANCE パラメーターが CreateNamedPipe 関数で使用されていないからです。このコードでは、パイプが既存ファイルに優先して作成されるため、悪意のあるユーザーがセキュリティ上の機密データを取得し、おそらく任意のコマンドを実行することができます。

修正コード例

コピー
    hPipe = CreateNamedPipe( 
          lpszPipename,         // pipe name 
          FILE_FLAG_FIRST_PIPE_INSTANCE |
          PIPE_ACCESS_DUPLEX,     // read/write access 
          PIPE_TYPE_MESSAGE |     // message type pipe 
          PIPE_READMODE_MESSAGE |  // message-read mode 
          PIPE_WAIT,           // blocking mode 
          PIPE_UNLIMITED_INSTANCES, // max. instances  
          BUFSIZE,            // output buffer size 
          BUFSIZE,            // input buffer size 
         0,                // client time-out 
         NULL);              // default security attribute

修正コード例では、FILE_FLAG_FIRST_PIPE_INSTANCE パラメーターが使用されており、パイプが既存ファイルに優先して作成されることはありません。

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。