Reino: API Abuse

Un API es un contrato entre un autor de llamada y un receptor de llamada. Las formas de abuso de API más comunes los produce el autor de llamada cuando no consigue atender su fin de este contrato. Por ejemplo, si un programa no consigue llamar chdir() después de llamar chroot(), se viola el contrato que especifica cómo cambiar el directorio de origen activo de una forma segura. Otro buen ejemplo de un abuso de manual es esperar que el receptor devuelva una información de DNS de confianza al autor de llamada. En este caso, el autor de llamada abusa el API del receptor haciendo determinadas suposiciones sobre su comportamiento (que el valor de retorno se puede usar con fines de autenticación). También se puede violar el contrato entre el autor de llamada y el receptor desde el otro lado. Por ejemplo, si un codificador envía SecureRandom y devuelve un valor no aleatorio, se viola el contrato.

Often Misused: Strings

C/C++

Abstract

Las funciones que convierten cadenas de Multibyte a Unicode y viceversa favorecen la aparición de desbordamientos del búfer.

Explanation

Windows proporciona las funciones MultiByteToWideChar(), WideCharToMultiByte(), UnicodeToBytes() y BytesToUnicode() para convertir cadenas de caracteres multibyte (normalmente ANSI) arbitrarias a cadenas Unicode (carácter ancho) y viceversa. Los argumentos de tamaño para estas funciones están especificados en diferentes unidades (una en bytes y la otra en caracteres) y su uso suele llevar a errores. En una cadena de caracteres multibyte, cada carácter ocupa una cantidad variable de bytes; por lo tanto, el tamaño de dichas cadenas se especifica más fácilmente como un número total de bytes. Sin embargo, en Unicode los caracteres siempre tienen un tamaño fijo y la longitud de las cadenas está definida por el número de caracteres que contienen. La especificación incorrecta de las unidades erróneas en un argumento de tamaño podría provocar un buffer overflow.

Ejemplo 1: La función siguiente toma un nombre de usuario especificado como cadena multibyte y un puntero a una estructura para la información de usuario y rellena la estructura con información sobre el usuario especificado. Como la autenticación de Windows utiliza Unicode para los nombres de usuario, el argumento de nombre de usuario se convierte primero desde una cadena multibyte a otra Unicode.


void getUserInfo(char *username, struct _USER_INFO_2 info){
WCHAR unicodeUser[UNLEN+1];
MultiByteToWideChar(CP_ACP, 0, username, -1,
     unicodeUser, sizeof(unicodeUser));
NetUserGetInfo(NULL, unicodeUser, 2, (LPBYTE *)&info);
}

Esta función transfiere de forma incorrecta el tamaño de unicodeUser en bytes en lugar de hacerlo en caracteres. Así pues, la llamada a MultiByteToWideChar() puede escribir hasta (UNLEN+1)*sizeof(WCHAR) caracteres anchos o (UNLEN+1)*sizeof(WCHAR)*sizeof(WCHAR) bytes, en la matriz unicodeUser, que solo tiene (UNLEN+1)*sizeof(WCHAR) bytes asignados. Si la cadena username contiene más de UNLEN caracteres, la llamada a MultiByteToWideChar() desbordará el búfer unicodeUser.

References

[1] Security Considerations: International Features Microsoft

[2] Standards Mapping - Common Weakness Enumeration CWE ID 176, CWE ID 251

[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002824

[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[5] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2012 Rule 1.3

[6] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2023 Rule 1.3

[7] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2023 Rule 4.1.3

[8] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-16 Memory Protection (P1)

[9] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-16 Memory Protection

[10] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.3.2 Output Encoding and Injection Prevention Requirements (L1 L2 L3)

[11] Standards Mapping - OWASP Top 10 2004 A5 Buffer Overflow

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.5

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.2

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.2

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.2

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.2

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.2

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[21] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[22] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[23] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection

[24] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3590.1 CAT I

[25] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3590.1 CAT I

[26] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3590.1 CAT I

[27] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3590.1 CAT I

[28] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3590.1 CAT I

[29] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3590.1 CAT I

[30] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3590.1 CAT I

[31] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002590 CAT I

[32] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002590 CAT I

[33] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002590 CAT I

[34] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002590 CAT I

[35] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002590 CAT I

[36] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002590 CAT I

[37] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002590 CAT I

[38] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002590 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002590 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002590 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002590 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002590 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002590 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002590 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002590 CAT I

[46] Standards Mapping - Web Application Security Consortium Version 2.00 Buffer Overflow (WASC-07)

[47] Standards Mapping - Web Application Security Consortium 24 + 2 Buffer Overflow

desc.semantic.cpp.often_misused_strings.multibytewidechar