EN JP CN

SV.PIPE.CONST

SV.PIPE.CONST

パイプのハイジャックの可能性

FILE_FLAG_FIRST_PIPE_INSTANCE パラメーターが、CreateNamedPipe 関数で使用されていない場合、パイプが既存ファイルに優先して作成され、悪意のあるユーザーがセキュリティ上の機密データを取得し、おそらく任意のコードを実行することができます。

SV.PIPE.CONST チェッカーは、CreateNamedPipe 関数が FILE_FLAG_FIRST_PIPE_INSTANCE なしで使用されているインスタンスを探します。

脆弱性とリスク

名前付きパイプと共有ファイルは、システムのセキュリティを低下させる可能性があるので、無許可のユーザーが正当なユーザーのユーザー名やその他の機密情報を取得することができます。この脆弱性による主なリスクは、悪意のあるユーザーが追加の権限を取得し、パイプをハイジャックして任意のプログラムを実行できるようになることです。

軽減と防止

FILE_FLAG_FIRST_PIPE_INSTANCE フラグを CreateNamedPipe で 2 番目の引数として使用すると、作成中のパイプの完成が確実に防止されるので、パイプハイジャック攻撃を防ぐことができます。

脆弱コード例

hPipe = CreateNamedPipe( 
       lpszPipename,         // pipe name 
       PIPE_ACCESS_DUPLEX,     // read/write access 
       PIPE_TYPE_MESSAGE |     // message type pipe 
       PIPE_READMODE_MESSAGE |  // message-read mode 
       PIPE_WAIT,           // blocking mode 
       PIPE_UNLIMITED_INSTANCES, // max. instances  
       BUFSIZE,            // output buffer size 
       BUFSIZE,            // input buffer size 
       0,                // client time-out 
       NULL);              // default security attribute

Klockwork はこのコードにフラグを立てますが、それは FILE_FLAG_FIRST_PIPE_INSTANCE パラメーターが CreateNamedPipe 関数で使用されていないからです。このコードでは、パイプが既存ファイルに優先して作成されるため、悪意のあるユーザーがセキュリティ上の機密データを取得し、おそらく任意のコマンドを実行することができます。

修正コード例

1    hPipe = CreateNamedPipe( 
2          lpszPipename,         // pipe name 
3          FILE_FLAG_FIRST_PIPE_INSTANCE |
4          PIPE_ACCESS_DUPLEX,     // read/write access 
5          PIPE_TYPE_MESSAGE |     // message type pipe 
6          PIPE_READMODE_MESSAGE |  // message-read mode 
7          PIPE_WAIT,           // blocking mode 
8          PIPE_UNLIMITED_INSTANCES, // max. instances  
9          BUFSIZE,            // output buffer size 
10          BUFSIZE,            // input buffer size 
11         0,                // client time-out 
12         NULL);              // default security attribute

修正コード例では、FILE_FLAG_FIRST_PIPE_INSTANCE パラメーターが使用されており、パイプが既存ファイルに優先して作成されることはありません。