James Windows10 elevator action final-jp

James Forshaw @tiraniddo
「お約束の」バックグランドスライド
2
●  GoogleのProject Zeroの研究者
●  Windowsを専門に扱う
○  特にローカルの権限昇格
●  嫌いな論理的脆弱性に出っくわしたことが無い

本日話そうと思っていること
●  Windowsにおける権限昇格
○  ユーザ・モードとカーネル・モードの知識が混在したバグの狩場
●  脆弱性を攻撃するのに使える楽しいトリック
○  マイクロソフト社の多くの人が気づいてさえいないような
●  主に論理的脆弱性、メモリコラプションは気にしない
3
あのWindowsを獲れ

Windows ローカル攻撃の図式
4
カーネル
システム
ユーザ
サンドボックス

5
カーネル
システム
ユーザ

6
カーネル
システム
ユーザ

James Forshaw @tiraniddo 7
権限昇格のバグを狩る

ローカルのシステム脆弱性は死んだ！
8

Windows カーネルアタックの可能性
9
システムコール
カーネルに約400
WIN32Kに約1000

システムサービスとドライバ
10
Windows 7
SP1
Windows 8.1 Windows 10
サービス 150 169 196
ドライバ 238 253 291
7 8 10

サービス権限レベル
11
Windows 7
SP1
Windows 8.1 Windows 10
Local System 53.69% 56.89% 61.14%
Local Service 32.21% 31.14% 28.50%
Network
Service
14.09% 11.98% 10.36%
7 8 10

サービス起動モード
12
Windows 7 Windows 8.1 Windows 10
自動 30.07% 26.19% 24.10%
無効 5.23% 3.57% 2.05%
手動 53.59% 43.45% 42.56%
自動（遅延開始） 11.11% 26.79% 31.28%
7 8 10

サービスのためのコマンドライン引数？
13
サービスのための
任意の引数

引数を使うのは誰？
14
ここで使われている

例：Mozillaのメンテナンスサービス
/**
* Main entry point when running as a service.
*/
void WINAPI
SvcMain(DWORD argc, LPWSTR *argv) {
// ...
ExecuteServiceCommand(argc, argv);

}
15

多くのセキュリティ問題
16

簡単なC#のテストプログラム
class Program {
static void Main(string[] args) {
if (args.Length < 1) {
Console.WriteLine("Usage: ServiceName args");
Environment.Exit(1);
}

ServiceController service = new ServiceController(args[0]);
if (service.Status == ServiceControllerStatus.Stopped) {
service.Start(args);
}
}
}
17

RPCサービスの検出
18

露出したCOMサービスの検出
19
Menu: Registry > Local Services

デバイスドライバ

アクセス可能なデバイスオブジェクト
21
7 8 10
Windows 7 Windows 8.1 Windows 10
読取り・書込み 64 54 52
読み取りのみ 6 6 5

デバイス名を開く
DeviceHarddisk1SomeName
NTアーキテクチャの
ネイティブパス

DeviceHarddisk1 SomeName
デバイスパス
デバイス名前空間
へのパス

DeviceHarddisk1 SomeName
デバイスパス
デバイス名前空間
へのパス
ハードディスク
ドライバ
ファイルハンドラ
を作成

デバイス名前空間を保護する
●  それで、何が問題？
○  デバイスパスのセキュリティはデフォルトではカーネルによって保護
される
○  名前空間はカーネルによって保護されない
●  もし、ドライバが、自らチェックして適切なフラグを立てなけれ
ば保護の無い状態になる

脆弱なコードのパターン
NTSTATUS DriverEntry(DRIVER_OBJECT *DriverObject, ...) {
// 脆弱な可能性がある
IoCreateDevice(DriverObject, 0, Name, FILE_DEVICE_UNKNOWN,
0, TRUE, &DeviceObject);

// デバイスの名前空間が保護されている
IoCreateDevice(DriverObject, 0, Name, FILE_DEVICE_UNKNOWN,
FILE_DEVICE_SECURE_OPEN, TRUE, &DeviceObject);

// 名前にもかかわらず、脆弱なまま
IoCreateDeviceSecure(DriverObject, 0, Name,
FILE_DEVICE_UNKNOWN,
0, TRUE, SecuritySddl, NULL,
&DeviceObject);
}
26

例：Windows ソケット
●  LinuxやOS Xでは、ソケットはシステムコールとして実装
●  Windowsでは Ancillary Functionドライバ(AFD) 内に実装
●  DeviceAfd を通じて情報をやり取り
●  しかし、デバイスの名前空間は DeviceAfdEndpoint に命令を投げ
ることで開かなくてはならない
●  名前空間にはセキュリティが無い (>_<)
●  その後の操作は DeviceIoControl を通じて行う

ネイティブソケット
BOOL ConnectSocket(HANDLE hSocket, u_short srcport,
const SOCKADDR_IN& inaddr) {
// hSocket is opened file DeviceAfdEndpoint
ConnectData data = { 0 };
data.sin_family = AF_INET;
data.sin_port = htons(srcport);
data.inaddr = inaddr;

DWORD dwSize;

return DeviceIoControl(hSocket, 0x00012007,
&data, sizeof(data), nullptr,
0, &dwSize, nullptr);
}

登録されたあらゆるIPエンドポイントと通信
●  たとえば SMB あるいは DCE/RPC
29
https://code.google.com/p/google-security-research/issues/detail?id=222

何を探すべき？
●  最適な場所はハンドラの中で次のものを探すこと：
○  IRP_MJ_DEVICE_CONTROL
○  IRP_MJ_FILE_SYSTEM_CONTROL
○  Classic IOCTL bugs
●  コントロールコードはデバイスハンドルが呼び出すのに必要な
権限を符号化しており、また、情報を投げるためのパラメータ
を含んでいる
30
デバイスタイプビット
30 - 16
必要な
アクセス
15-14
ファンクション
コード
12-2
転送の
タイプ
1-0
METHOD_BUFFERED 0
METHOD_IN_DIRECT 1
METHOD_OUT_DIRECT 2
METHOD_NEITHER 3
FILE_ANY_ACCESS 0
FILE_READ_ACCESS 1
FILE_WRITE_ACCESS 2

IOCTL の例
31
Online decoder: https://www.osronline.com/article.cfm?article=229

DosDevice によるドライブ探索
32
??C:SomePath
ユーザ毎の
デバイスマップ
プロセス毎の
デバイスマップ
グローバルな
デバイスマップ？？
仮想デバイスマップ？？
DeviceXYZSomePath

プロセス毎のデバイスマップ
const int ProcessDeviceMap = 23;

struct PROCESS_DEVICEMAP_INFORMATION {
HANDLE DirectoryHandle;
};

bool SetProcessDeviceMap(HANDLE hDir) {
PROCESS_DEVICEMAP_INFORMATION DeviceMap = {hDir};
NTSTATUS status = NtSetInformationProcess(
GetCurrentProcess(),
ProcessDeviceMap,
&DeviceMap,
sizeof(DeviceMap));
return status == 0;
}
33

プロセス毎のデバイスマップを使用
NTSTATUS DoDeviceIoControl(DRIVER_OBJECT *Driver, PIRP Irp) {
// 脆弱な可能性がある
PIO_STACK_LOCATION stack_loc = ...;
if (stack_loc->DeviceIoControl.IoControlCode ==
IOCTL_SOMETHING) {
UNICODE_STRING name = L"??C:";
UNICODE_STRING target = L"DeviceTarget":
IoCreateSymbolicLink(&name, &target);
}
}

HANDLE hDir;
UNICODE_STRING name = L"GLOBAL??";
NtOpenDirectoryObject(&hDir, DIRECTORY_TRAVERSE, &ObjAttr);
SetProcessDeviceMap(hDir);
34
https://code.google.com/p/google-security-research/issues/detail?id=538

攻撃の手段は・・・
●  MS15-111 においてプロセス毎のデバイスマップがサンドボックス
から取り除かれた
if (ProcessInformationClass ==
ProcessDeviceMap) {
if (RtlIsSandboxedToken(NULL)) {
return STATUS_ACCESS_DENIED;
}
return ObSetDeviceMap(ProcessHandle,
DirectoryHandle);
}
35

ユーザ毎のデバイスマップ
36

なりすましとデバイスマップ
●  特権サービスがユーザに成りすますときは、ユーザもまたデバイ
スマップに成りすます。
●  Ｃ:シンボリックリンクをユーザ毎のデバイスマップのディレクト
リにドロップすることで、成りすましている間はC: の配下で動く
サービスをコントロールできる。
●  MS15-038 の前は、このDLLロードを狙ったプロセス内で行うこと
で実現できた。
○  デバイスマップの成りすましを無効化する新しいオブジェクト属性
OBJ_IGNORE_IMPERSONATED_DEVICEMAP を追加することで修
正された。
●  しかし、まだ使える。たとえば、なりすまし中のプロセス作成は
依然として脆弱。
●  「保護された」設定を読み込むことも同様に脆弱。
●  オリジナルのDLLバージョンはダウンロード可能
https://code.google.com/p/google-security-research/issues/detail?
id=240
37

プロセス監視を使う
●  プロセス監視はファイル作成イベントにおけるなりすましの過程を
ログに残す。
●  これを使って、何か有用なものを開くときにユーザに成りすまして
いるシステムサービスが無いかを探す（DLLはおそらくダメ）。
38
この値を見る

興味深いオブジェクト属性のフラグ
39
フラグ名値解説
OBJ_CASE_INSENSITIVE 0x0040
システムが大文字小文字を識別す
るように設定された場合に興味深い
（デフォルトはNO）
OBJ_OPENLINK 0x0100
Opens a “link” オブジェクトを開く。
レジストリキーのシンボリックリンクを
開くことに使用。
OBJ_KERNEL_HANDLE 0x0200
カーネルモードで設定されなかった
ら、ハンドルを現行のプロセスに対し
てさらす。
OBJ_FORCE_ACCESS_CHECK 0x0400
カーネルモードで設定されなかった
ら、リソースをセキュリティチェック無
しで開く。
OBJ_IGNORE_IMPERSONATED_DEVICEMAP 0x0800
なりすまされたデバイスマップを無視
する。

デフォルトのACLとオーナー
●  ファイルもしくはオブジェクトの権限は下記の3つのうちの1つに依存
○  自らのコンテナ(ディレクトリなど)から受け継いだ権限
○  現在有効なトークンにおけるデフォルト権限
○  カーネルシステムコールに渡されたセキュリティ記述子
40
デフォルト
Group
デフォルト
DACL
デフォルト
Owner
整合性レベルも
トークンから受け継がれる

もし DeviceMap が存在しなかったら？
NTSTATUS SeGetTokenDeviceMap(TOKEN *token,
DEVICE_MAP **device_map) {
if (!token->LogonSession->pDeviceMap) {
swprintf_s(
&SourceString,
L"Sessions0DosDevices%08x-%08x",
token->AuthenticationId.HighPart,
token->AuthenticationId.LowPart);
InitializeObjectAttributes(&ObjectAttributes,
SourceString, OBJ_KERNEL_HANDLE, ...);
ZwCreateDirectoryObject(&DirectoryHandle,
DIRECTORY_ALL_ACCESS, &ObjectAttributes);
ObSetDirectoryDeviceMap(&token->LogonSession,
DirectoryHandle);
}
*device_map = token->LogonSession->pDeviceMap;
}
41

デフォルトセキュリティ
●  実行過程における必要に基づいて作成されたデバイスマップディ
レクトリは、それゆえに、呼び出したものの権限を得る。
○  Owner セット
○  デフォルト DACL
●  つまり、デバイスマップにアクセスできる。
●  このことを、限られた方法ながら、プロセス毎のデバイスを失っ
たことの埋め合わせに使用できる。
●  また、レジストリ･キーやファイルなどの他のさまざまなリソース
にも使える
1. トークン(S4Uから等)を初期化されていないデバイスマップととも
に受け取る
2. トークンに成りすまし、デバイスマップにアクセスして作成する
3. ユーザに成りすましながら、リソースを開いたりカーネル関数を
呼び出す
42

Win32 の自動リダイレクト
43
●  Win32 API はネイティブAPIを呼び出したときに特定のファイル名
をリダイレクトする
○  COM1 -> ??COM1
○  NUL -> ??NUL
○  などなど
●  システムサービスはほとんど保護しない。
●  もし、なりすまし中に呼び出された場合、完全なパスをコントロ
ールしていなくてもファイルアクセスをリダイレクトできる
●  例：
○  もし、サービスがc:somepathyourfile を開いた場合、他のファイル
へリダイレクトできる
○  設定情報へ悪用が可能

パスの正規化
●  パスの正規化はWindowsとLinux・OSXでまったく異なる
●  LinuxやOSXではパスはそのままでカーネルに渡される
○  カーネルがパスの正規化に責任を持つ
○  「. 」と「.. 」ディレクトリは本物のディレクトリエントリ
●  Windowsでは、絶対パスでカーネルに渡されなくてはならない
○  相対パスのコンポーネントはユーザモードで取り除かれる
○  現行のディレクトリが処理される
○  「. 」と「.. 」はシミュレートされたディレクトリ
44

パスの正規化
45
A B C
Path Linux/OSX Windows
A/B/C Valid Valid
A/B/C/../../B Valid Valid
A/B/D/../C Invalid Valid
A/B/D”/../C Invalid Valid
const char* path = "c:myapp.exe" ....windowsnotepad.exe";
if (CheckSig(path)) {
snprintf(cmdline, ""%s" arg", path);
CreateProcess(NULL, cmdline, ...);
}

NTFS の無効な文字
46

オブジェクトマネージャの無効な文字
47

Windows カーネルは文字列を数えた数を使用
48
長さをバイトで指定

Windows カーネルは文字列を数えた数を使用
49
NULL 終端！

ディレクトリにおける交互データ・ストリーム
50

UAC 自動昇格ディレクトリチェック
51
c:windows c:windowstracingapp.exe app.exe
許可禁止

フォルダにおける権限
52
c:windows c:windowstracingapp.exe app.exe
ALLOWED BANNED

AiCheckSecureApplicationDirectory バイパス
53
●  ファイルをセキュアなパスで書き込めることが必要
●  どうすれば C:Windows に対して C:Windows に書き込まずに書
き込める？
c:windows malicious.exe
許可
c:windows ????
許可？

NTFS の交互データ・ストリームだ！
54
c:windows tracing:malicious.exe
ALLOWED
●  生成されて名づけられたストリームに対するディレクトリにおけ
るFILE_WRITE_DATA/FILE_ADD_FILE の権限があれば良い。
●  このバグはWindows 10で修正されているが、Windows 8.1以下で
はそのまま。

Windows シンボリックリンク
55
Windows NT 3.1 – 1993年7月27日
オブジェクトマネージャシンボリックリンク
レジストリキーシンボリックリンク
Windows 2000 – 2000年2月17日
NTFS マウントポイントと
ディレクトリジャンクション
Windows Vista –
2006年11月30日
NTFS シンボリックリンク

「サンドボックス」における対策
56
NTFS
マウントポイント
レジストリキー
シンボリックリンク
オブジェクト
マネージャ
シンボリックリンク
禁止
限定
限定

奇妙なデフォルト権限
●  C:WindowsTemp と C:ProgramData は、標準ユーザに新規ファ
イルの作成を許可。
●  その権限を誤って使っているプログラムを見つけたら、それらを
攻撃するために新しいファイルもしくはシンボリックリンクをつ
くることができる。
●  ファイルの削除は必ずしも可能である必要は無い。無論、見つけ
出す価値はある。
57

James Forshaw @tiraniddo 58
ラップアップ

便利なツール (私のチョイス)
59
●  SysInternals
○  Process Explorer
○  Process Monitor
○  WinObj
●  WinDBG
●  Rohitab API Monitor (http://www.rohitab.com/apimonitor)
●  RPCView (http://www.rpcview.org/)
●  OleView.NET (https://github.com/tyranid/oleviewdotnet)
●  Sandbox Analysis Tools (
https://github.com/google/sandbox-attacksurface-analysis-tools
●  IDA Pro

質問あります？
60

James Windows10 elevator action final-jp

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (20)

More from PacSecJP

More from PacSecJP (20)

James Windows10 elevator action final-jp