Security Professionals Network Inc. - 【SPN通信】引用符で囲まれていないプログラムパスの処理問題

SPN通信 2012年11月12日

引用符で囲まれていないプログラムパスの処理問題

みなさん、こんにちは。 SPNの塩月です。

今回のSPN通信はSANS ISCダイアリーに投稿されていた以下の記事についてご紹介します。

Help eliminate unquoted path vulnerabilities
http://isc.sans.edu/diary.html?storyid=14464

Windows OSに古くから存在する問題として、プログラム起動時における引用符で囲まれていない空白を含むパスの処理に関する問題があります。例えばあるサービスの実行ファイルのパスが、

  "c:\program files\common files\service\file.exe"

だったとしましょう。このようにファイルのパスが引用符「"」で囲まれて設定されていれば問題ないのですが、

  c:\program files\common files\service\file.exe

のように引用符なしで設定されていたとします。この場合に、もし、

  c:\program.exe
  c:\program files\common.exe

といったプログラムファイルが存在すると、Windowsはサービス起動時にそれらを優先して実行してしまいます。これはWindowsが引用符で囲まれていない空白を含むパスを解釈する際に、どこまでがプログラムのパスでどこからがパラメータなのか判断できないため、空白区切りに基づいてプログラムファイルを探し実行を試みることに起因します。

  c:\program files\common files\service\file.exe
  ----------
      ↓
  最初に"c:\program.exe"の実行を試みる

  c:\program files\common files\service\file.exe
  -----------------------
            ↓
  次に"c:\program files\common.exe"の実行を試みる

つまり空白の区切りがあるたびに、そこまでの文字列をプログラムファイルのパスだと考えて実行を試みるわけですね。

通常、"c:\program.exe"や"c:\program files\common.exe"は存在しませんので、最終的には正しいプログラムファイルのパス"c:\program files\common files\service\file.exe"を試行することにより目的のプログラムが起動します。しかし誰かが不正なプログラムを"c:\program.exe"等のファイル名で設置した場合、当該サービス起動時にこのプログラムが自動的に実行してしまうことになります。このような振る舞いはそもそもWindowsの仕様によるものですので、サービスを開発するプログラマはこのことを理解し、プログラムファイルのパスに空白が含まれる場合はサービス登録時に引用符で囲むことが求められます。

ではこの問題がどのようなセキュリティ脅威につながるのでしょうか?

まず考えられるものとして「権限昇格攻撃」があります。多くのWindowsのサービスはシステム権限のように非常に高い権限で実行します。システム権限で動作するサービスにこの問題があった場合、低い権限でログオンしている攻撃者はこの問題を利用して不正なプログラムを高い権限で実行させる可能性があります。一方で一般的なWindows環境ではデフォルトのパーミッション設定により、Cドライブ直下やProgram Filesフォルダに一般ユーザ権限でファイルを作成することができないため、この問題を権限昇格攻撃に利用できるケースはそもそもある程度高い権限を有している場合(XPのPower Usersグループ等)か、ファイルシステムのパーミッション設定に問題がある場合などに限定されると思われます。

もう一つの脅威として不正プログラムの自動実行への利用が考えられます。マルウェア等の不正プログラムはシステム起動時やユーザログオン時に自動的に実行するため、「自動起動設定」を行うという一般的特徴があります。自動起動設定にはサービスとして登録したり、レジストリのRunキーに設定したりするなど各種の手法があり、システム管理者が不正プログラムの存在を調査する際にはこれらの自動起動設定ポイントに不審なプログラムがないかどうかをチェックします。しかし不正プログラムが今回の問題を利用して"c:\program.exe"のようなファイル名で設置された場合、通常の自動起動設定を調査してもそこには正しいプログラムしか設定されていないため見逃してしまうかも知れません。正規の自動起動設定を、いわば「隠れ蓑」にするようなイメージですね。ちなみにXPではレジストリのRunキーでも同様の現象が起こります。

プログラムファイルのパスに空白を含んでいるにもかかわらず、引用符で囲まずに設定されているようなサービスは、それほど稀な存在ではありません。さすがにWindows標準のサービスにはそのようなものはないでしょうが、私が日常的に使用しているノートPCで調べたところ三つのサードパーティ製のサービスにこの問題がありました。XP以降では以下のコマンドラインで調べることができるので、みなさんも一度ご自分の環境で調べてみることをお勧めします。

  wmic service get name,displayname,pathname,startmode 
                    | findstr /i /v "c:\windows\\" | findstr /i /v """

なお余談ですが"c:\program.exe"というファイルを作成した場合、Windowsはログオン時に「ファイル名に関する警告」のダイアログを表示することでユーザに警告します。このダイアログは以下のレジストリ設定によりOFFにすることが可能です。

  レジストリキー：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
                  Explorer\DontShowMeThisDialogAgain
  レジストリ値：文字列型「RogueProgramName」に「no」を設定

それではみなさん、またお会いしましょう。

参考：

CreateProcess function
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx
Windows Service Trusted Path Privilege Escalation
http://www.metasploit.com/modules/exploit/windows/local/trusted_service_path
Unquoted Service Paths
http://www.commonexploits.com/?p=658
The Program.exe Problem
http://xato.net/hardening/the-programexe-problem/

合同会社セキュリティ・プロフェッショナルズ・ネットワーク
代表社員塩月誠人