Race Condition: File System Access

El periodo entre el momento en que se comprueba una propiedad de archivo y el momento en que se usa puede explotarse para iniciar un ataque de extensión de privilegios.

Las condiciones de carrera de acceso a archivos, conocidas como condiciones de carrera de momento de comprobación y momento de uso (TOCTOU, por sus siglas en inglés) se producen cuando:

1. El programa comprueba una propiedad de un archivo, haciendo referencia a este por el nombre.

2. A continuación el programa realiza una operación de sistema del archivo utilizando el mismo nombre de archivo y asume que la propiedad que ya se comprobó anteriormente no ha cambiado.
Ejemplo 1: El siguiente código procede de un programa instalado setuid root. El programa realiza ciertas operaciones de archivo en nombre de usuarios no privilegiados, y usa comprobaciones de acceso para asegurar que este no usa sus privilegios origen para realizar operaciones que no deberían estar disponibles para el usuario actual. El programa utiliza la llamada al sistema access() para comprobar si la persona que está ejecutando el programa tiene permiso para acceder al archivo especificado antes de que abra el archivo y realiza las operaciones necesarias.

  if (!access(file,W_OK)) {
    f = fopen(file,"w+");
    operate(f);
    ...
  }
  else {
    fprintf(stderr,"Unable to open file %s.\n",file);
  }

La llamada a access() presenta el comportamiento previsto y devuelve 0 si el usuario que ejecuta el programa dispone de los permisos necesarios para escribir en el archivo y, de no ser así, devuelve -1. Sin embargo, debido a que tanto access() como fopen() realizan operaciones en los nombres de archivo en lugar de en los identificadores de archivo, no hay ninguna garantía de que la variable file aún haga referencia al mismo archivo en el disco al transferirlo a fopen() que cuando se transfirió a access(). Si un usuario malintencionado sustituye file tras la llamada a access() por un vínculo simbólico a un archivo diferente, el programa utilizará sus privilegios raíz para realizar operaciones en el archivo, aunque se trate de un archivo que, de lo contrario, el usuario no podría modificar. Al engañar al programa para que realice una operación que, de lo contrario, no sería permisible, el usuario malintencionado ha obtenido privilegios elevados.

Este tipo de vulnerabilidad no se limita a programas con privilegios root. Si la aplicación es capaz de realizar cualquier operación que el usuario malintencionado no tendría permiso para realizar, se trata de un posible objetivo.

La ventana de vulnerabilidad para un ataque de esta naturaleza se da en el período de tiempo entre cuando una propiedad de archivo se comprueba y cuando el archivo se usa. Incluso si el uso se produce inmediatamente después de la comprobación, los sistemas de operación modernos no garantizan la cantidad de código que se ejecuta antes de que el proceso abandona la CPU. Los atacantes disponen de una amplia variedad de técnicas para expandir la longitud de la ventana de oportunidad para que sea más fácil de explotar. Sin embargo, incluso con una ventana pequeña, un intento de ataque puede repetirse una y otra vez hasta que tiene éxito.

Ejemplo 2: el siguiente código crea un archivo y, a continuación, cambia el propietario del mismo.

    fd = creat(FILE, 0644);  /* Create file */
    if (fd == -1)
        return;
    if (chown(FILE, UID, -1) < 0) {  /* Change file owner */
      ...
    }

Este código presupone que el archivo utilizado por la llamada a chown() es el mismo que el archivo creado por la llamada a creat(), pero esto no siempre es así. Como chown() funciona en un nombre de archivo y no en un identificador de archivo, un atacante podría ser capaz de reemplazar el archivo con un vínculo a un archivo que no posee el atacante. La llamada a chown() proporcionaría así al atacante la propiedad del archivo vinculado.