Race Condition: File System Access

ファイルプロパティがチェックされるときと、ファイルが使用されるときの時間差を利用して、権限昇格攻撃が行われる可能性があります。

ファイルアクセス Race Condition は TOCTOU (time-of-check, time-of-use) Race Condition とも呼ばれ、以下の場合に発生します。

1. プログラムがファイルのプロパティをチェックする際に、ファイルを名前で参照する場合。

2.後でプログラムは、同じファイル名を使用し、前に確認したプロパティが変更されていないと仮定して、ファイル システム オペレーションを実行します。
例 1: 以下のコードは、setuid root をインストールしたプログラムのものです。このプログラムでは、権限が付与されていないユーザーに代わって特定のファイル操作を行い、アクセス チェックを使用して、現在のユーザーが利用できないはずの操作を、root 権限で行わないようにします。このプログラムでは、access() システム コールを使用して、プログラムを実行している人が指定されたファイルにアクセスする権限を持っているかどうかを確認してから、ファイルを開き、必要な処理を行います。

  if (!access(file,W_OK)) {
    f = fopen(file,"w+");
    operate(f);
    ...
  }
  else {
    fprintf(stderr,"Unable to open file %s.\n",file);
  }

access() のコールは想定どおりに機能し、プログラムの実行者がファイルに書き込むために必要な権限を持っている場合は 0 を戻し、そうでない場合は -1 を戻します。しかし、access() と fopen() はどちらもファイルハンドルではなくファイル名に対して実行されるため、file 変数が fopen() に渡される際にも、access() に渡されたときと同じディスク上のファイルを参照している保証はありません。攻撃者が access() のコール後に file を別のファイルへのシンボリックリンクに置き換えた場合、そのファイルが本来ならば攻撃者が変更できないファイルであっても、プログラムはファイルを root 権限で操作します。プログラムを操作して本来実行できない操作を実行させることにより、攻撃者は昇格した権限を獲得します。

このタイプの脆弱性は、root 権限を持つプログラムに限定されません。本来は攻撃者に許可されていない操作を実行できるアプリケーションはすべて、ターゲットになる可能性があります。

そのような攻撃に対する脆弱性の時間帯は、プロパティがテストされた時点と、ファイルが使用される時点の間の期間です。確認後ただちに使用した場合でも、最新のオペレーティング システムは、プロセスが CPU を明け渡す前に実行されるコードの量について保証していません。攻撃者は、より簡単に悪用するための機会の時間枠を拡張するさまざまなテクニックを持っています。ただし、時間枠が短くても、悪用の試みは、成功するまで単純に何度も繰り返される可能性があります。

例 2: 次のコードはファイルを作成し、ファイルの所有者を変更しています。

    fd = creat(FILE, 0644);  /* Create file */
    if (fd == -1)
        return;
    if (chown(FILE, UID, -1) < 0) {  /* Change file owner */
      ...
    }

このコードは、chown() のコールにより操作されるファイルが creat() のコールにより作成されたファイルと同じであると仮定していますが、必ずしもそうならない場合があります。chown() はファイル名に対して操作され、ファイル ハンドルに対しては操作されないため、攻撃者により、攻撃者が所有しないファイルへのリンクにそのファイルが置き換えられる可能性があります。そのような場合、リンクされたファイルの所有権が chown() のコールによって攻撃者に付与されます。