Process Control

신뢰할 수 없는 프로그램이나 트랜잭션 또는 신뢰할 수 없는 환경에서 프로그램 제어를 이동하면 응용 프로그램이 공격자 대신 악의적인 명령을 실행할 수 있습니다.

Process control 취약점은 두 가지 형태로 나타납니다.

- 공격자는 호출되는 프로그램의 이름 또는 트랜잭션의 코드를 변경할 수 있습니다. 공격자가 명시적으로 프로그램의 이름이나 트랜잭션 코드를 제어합니다.

- 공격자가 프로그램 또는 트랜잭션이 호출되는 환경을 변경할 수 있습니다. 공격자가 호출된 프로그램 또는 트랜잭션에 이용할 수 있는 통신 영역을 암시적으로 제어합니다.

이 경우에는 주로 공격자가 호출되는 프로그램의 이름 또는 트랜잭션의 코드를 제어할 수 있는 첫 번째 시나리오를 집중적으로 살펴보겠습니다. 이런 종류의 process control 취약점은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 응용 프로그램에 입력됩니다.



2. 데이터는 호출되는 프로그램 이름 또는 트랜잭션 코드를 나타내는 문자열 또는 문자열의 일부로 사용됩니다.



3. 응용 프로그램은 호출된 프로그램 또는 트랜잭션의 코드를 실행하여 공격자에게 공격자가 다른 방법으로는 얻을 수 없는 권한 또는 기능을 부여합니다.

예제 1: 권한 있는 시스템 유틸리티에서 발췌한 다음 코드는 HTTP 요청에서 값을 읽어 호출할 트랜잭션의 코드를 결정합니다.

...
tid = request->get_form_field( 'tid' ).

CALL TRANSACTION tid USING bdcdata  MODE 'N'
                         MESSAGES INTO messtab.
...

발췌한 이 코드를 통해 공격자는 임의의 트랜잭션을 호출하고 응용 프로그램에 대한 높은 권한으로 임의의 코드를 실행할 수 있습니다. 프로그램이 HTTP 요청에서 읽은 값을 확인하지 않기 때문에, 공격자가 이 값을 제어할 수 있는 경우, 응용 프로그램을 조작하여 악성 코드를 실행하게 하고 시스템을 제어할 수 있습니다.

신뢰할 수 없는 소스 또는 신뢰할 수 없는 환경에서 라이브러리 또는 실행 파일을 로드하면 응용 프로그램이 공격자 대신 악의적인 명령을 실행할 수 있습니다.

Process control 취약점은 두 가지 형태로 나타납니다.

- 공격자가 프로그램이 로드하는 라이브러리 또는 실행 파일의 이름을 변경할 수 있습니다. 공격자가 명시적으로 라이브러리 또는 실행 파일의 이름을 제어합니다.

- 공격자가 라이브러리 또는 실행 파일이 로드되는 환경을 변경할 수 있습니다. 공격자가 암시적으로 라이브러리 또는 실행 파일 이름의 의미를 제어합니다.

이 경우에는 주로 공격자가 로드되는 라이브러리의 이름을 제어할 수 있는 첫 번째 시나리오를 집중적으로 살펴보겠습니다. 이런 종류의 process control 취약점은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 응용 프로그램에 입력됩니다.



2. 데이터는 응용 프로그램이 로드하는 라이브러리 또는 실행 파일을 나타내는 문자열 또는 문자열의 일부로 사용됩니다.



3. 응용 프로그램은 라이브러리 또는 실행 파일의 코드를 실행하여 공격자에게 공격자가 다른 방법으로는 얻을 수 없는 권한 또는 기능을 부여합니다.

예제 1: 권한 있는 시스템 유틸리티에서 가져온 다음 코드는 응용 프로그램 구성 속성 APPHOME을 사용하고 그런 다음 지정된 디렉터리에서 상대 경로를 사용하여 기본 라이브러리를 로드합니다.

  ...
  string lib = ConfigurationManager.AppSettings["APPHOME"];
  Environment.ExitCode = AppDomain.CurrentDomain.ExecuteAssembly(lib);
  ...

이 코드는 응용 프로그램 구성 속성 APPHOME을 LIBNAME의 악성 버전이 들어 있는 다른 경로를 가리키도록 수정하기 때문에 공격자가 라이브러리 또는 실행 파일을 로드하고 응용 프로그램에 대한 높은 권한으로 임의의 코드를 실행할 수도 있습니다. 프로그램이 환경에서 읽은 값을 확인하지 않기 때문에, 공격자가 시스템 속성 APPHOME의 값을 제어할 수 있는 경우 응용 프로그램을 조작하여 악성 코드를 실행하게 하고 시스템을 제어할 수 있습니다.

신뢰할 수 없는 소스 또는 신뢰할 수 없는 환경에서 라이브러리를 로드하면 응용 프로그램이 공격자 대신 악의적인 코드를 실행할 수 있습니다.

Process control 취약점은 두 가지 형태로 나타납니다.

- 공격자가 프로그램이 실행하는 라이브러리를 변경할 수 있습니다. 공격자가 명시적으로 라이브러리 이름을 제어합니다.

- 공격자가 라이브러리가 로드되는 환경을 변경합니다. 공격자가 암시적으로 라이브러리 이름의 의미를 제어합니다.

이 경우에는 주로 공격자가 로드되는 라이브러리의 이름을 제어할 수 있는 첫 번째 시나리오를 집중적으로 살펴보겠습니다. 이런 종류의 process control 취약점은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 응용 프로그램에 입력됩니다.

2. 데이터는 응용 프로그램이 로드하는 라이브러리 이름을 나타내는 문자열의 일부로 사용됩니다.

3. 응용 프로그램은 라이브러리의 코드를 실행하여 공격자에게 공격자가 다른 방법으로는 얻을 수 없는 권한 또는 기능을 부여합니다.

예제 1: 권한 있는 응용 프로그램에서 발췌한 다음 코드는 레지스트리 항목을 사용하여 설치될 디렉터리를 결정한 다음, 특정 디렉터리에서 상대적인 경로를 사용하여 라이브러리 파일을 로드합니다.

	...
	RegQueryValueEx(hkey, "APPHOME",
                      0, 0, (BYTE*)home, &size);
	char* lib=(char*)malloc(strlen(home)+strlen(INITLIB));
	if (lib) {
		strcpy(lib,home);
		strcat(lib,INITCMD);
		LoadLibrary(lib);
	}
	...

이 예제의 코드를 사용하면 공격자가 임의의 라이브러리를 로드할 수 있으며 레지스트리 키를 수정하여 INITLIB의 악성 버전이 들어 있는 다른 경로를 지정하는 방식으로 높은 응용 프로그램 권한으로 이 라이브러리에서 코드를 실행합니다. 프로그램이 환경에서 읽은 값을 확인하지 않기 때문에 공격자가 APPHOME의 값을 제어하게 되면 응용 프로그램이 악성 코드를 실행하게 만들 수 있습니다.

예제 2: 다음 코드는 사용자가 시스템의 프로필을 업데이트할 수 있는 인터페이스에 접근하도록 허용하는 웹 기반 관리 유틸리티에서 발췌한 코드입니다. 유틸리티는 표준 시스템 디렉터리에 있도록 설계된 liberty.dll이라는 라이브러리를 사용합니다.

LoadLibrary("liberty.dll");

하지만 프로그램은 liberty.dlll의 절대 경로를 지정하지 않습니다. 공격자가 검색 순서에서 원하는 파일보다 앞쪽에 liberty.dll이라는 악성 라이브러리를 배치하고 웹 서버 환경이 아닌 자신의 환경에서 프로그램을 실행할 방법을 찾게 되면 응용 프로그램은 신뢰할 수 있는 라이브러리 대신 악성 라이브러리를 로드합니다. 이런 종류의 응용 프로그램은 높은 권한으로 실행되기 때문에 공격자의 liberty.dll의 내용도 높은 권한으로 실행되고 공격자가 시스템을 완전히 장악할 수 있습니다.

이런 종류의 공격은 절대 경로를 지정하지 않을 때 LoadLibrary()가 사용하는 검색 순서 때문에 발생합니다. Windows 최신 버전까지 그래왔듯이 시스템 디렉터리보다 현재 디렉터리를 먼저 검색하면 공격자가 프로그램을 로컬로 수행할 수 있어도 이런 종류의 공격은 하찮은 것이 됩니다. 검색 순서는 운영 체제 버전에 따라 결정되고 최신 운영 체제에서 다음 레지스트리 키의 값에 따라 제어됩니다.

HKLM\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode

이 키는 Windows 2000/NT 및 Windows Me/98/95 시스템에는 정의되어 있지 않습니다.

키가 있는 시스템에서 LoadLibrary()는 다음과 같이 동작합니다.
SafeDllSearchMode가 1인 경우 검색 순서는 다음과 같습니다.
(Windows Server 2003뿐 아니라 Windows XP-SP1 이상의 기본 설정입니다.)
1. 로드된 응용 프로그램이 있던 디렉터리.
2. 시스템 디렉터리.
3. 16비트 시스템 디렉터리(있는 경우).
4. Windows 디렉터리.
5. 현재 디렉터리.
6. PATH 환경 변수에 나열된 디렉터리.
SafeDllSearchMode가 0인 경우 검색 순서는 다음과 같습니다.
1. 로드된 응용 프로그램이 있던 디렉터리.
2. 현재 디렉터리.
3. 시스템 디렉터리.
4. 16비트 시스템 디렉터리(있는 경우).
5. Windows 디렉터리.
6. PATH 환경 변수에 나열된 디렉터리.

신뢰할 수 없는 응용 프로그램 또는 신뢰할 수 없는 환경에서 프로그램 제어를 이동하면 응용 프로그램이 공격자 대신 악의적인 명령을 실행할 수 있습니다.

Process control 취약점은 두 가지 형태로 나타납니다.

- 공격자가 호출되어 있는 프로그램의 이름을 변경할 수 있습니다. 공격자가 명시적으로 응용 프로그램의 이름을 제어합니다.

- 공격자가 프로그램이 호출되는 환경을 변경할 수 있습니다. 공격자가 호출된 프로그램에 이용할 수 있는 통신 영역을 암시적으로 제어합니다.

이 경우는 공격자가 호출된 프로그램의 이름을 제어하는 것이 가능한 첫 번째 시나리오와 관련이 있습니다. 이런 종류의 프로세스 제어 취약점은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 응용 프로그램에 입력됩니다.



2. 데이터는 호출되는 프로그램을 나타내는 전체 문자열의 일부로 사용되거나 프로그램이 호출되는 환경에 대한 제어를 결정합니다.



3. 응용 프로그램은 호출된 프로그램의 코드를 실행하여 공격자에게 공격자가 다른 방법으로는 얻을 수 없는 권한 또는 기능을 부여합니다.

예제 1: 권한 있는 시스템 유틸리티에서 발췌한 다음 코드는 터미널에서 값을 읽어 제어를 전달할 프로그램의 이름을 결정합니다.

...
ACCEPT PROGNAME.
EXEC CICS
  LINK PROGRAM(PROGNAME)
  COMMAREA(COMA)
  LENGTH(LENA)
  DATALENGTH(LENI)
  SYSID('CONX')
END-EXEC.
...

이 코드를 통해 공격자는 프로그램에 제어를 전달하고 응용 프로그램에 대한 높은 권한으로 임의의 코드를 실행할 수 있습니다. 프로그램이 터미널에서 읽은 값을 확인하지 않기 때문에, 공격자가 이 값을 제어할 수 있는 경우, 응용 프로그램을 조작하여 악성 코드를 실행하게 하고 시스템을 제어할 수 있습니다.

신뢰할 수 없는 소스 또는 신뢰할 수 없는 환경에서 라이브러리를 로드하면 응용 프로그램이 공격자 대신 악의적인 명령을 실행할 수 있습니다.

Process control 취약점은 두 가지 형태로 나타납니다.

- 공격자가 프로그램이 로드하는 라이브러리의 이름을 변경합니다. 공격자가 명시적으로 라이브러리의 이름을 제어합니다.

- 공격자가 라이브러리가 로드되는 환경을 변경합니다. 공격자가 암시적으로 라이브러리 이름의 의미를 제어합니다.

이 경우에는 주로 공격자가 로드되는 라이브러리의 이름을 제어할 수 있는 첫 번째 시나리오를 집중적으로 살펴보겠습니다. 이런 종류의 process control 취약점은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 응용 프로그램에 입력됩니다.



2. 데이터는 응용 프로그램이 로드하는 라이브러리를 나타내는 문자열 또는 문자열의 일부로 사용됩니다.



3. 응용 프로그램은 라이브러리의 코드를 실행하여 공격자에게 공격자가 다른 방법으로는 얻을 수 없는 권한 또는 기능을 부여합니다.

예제 1: 다음 코드는 Express의 현재 문서화되지 않은 "기능" 을 사용하여 동적으로 라이브러리 파일을 로드합니다. 그런 다음 Node.js는 계속해서 이 라이브러리([1])가 포함된 파일 또는 디렉터리에 대한 일반 라이브러리 로드 경로를 검색합니다.

var express = require('express');
var app = express();

app.get('/', function(req, res, next) {
  res.render('tutorial/' + req.params.page);
});

Express에서 Response.render()로 전달된 페이지는 이전에 알 수 없을 때 확장의 라이브러리를 로드합니다. 이는 잘 알려진 템플릿 엔진인 pug 라이브러리 로드를 의미하기 때문에 일반적으로 "foo.pug"와 같은 입력에 대해 문제가 되지 않습니다. 하지만 공격자가 페이지와 확장을 제어할 수 있는 경우 공격자는 Node.js 모듈 로드 경로 내의 모든 라이브러리를 로드하도록 선택할 수 있습니다. 프로그램이 URL 매개 변수에서 수신한 정보를 검증하지 않기 때문에 공격자는 응용 프로그램을 조작하여 악성 코드를 실행하게 하고 시스템을 제어할 수 있습니다.

신뢰할 수 없는 소스 또는 신뢰할 수 없는 환경에서 라이브러리를 로드하면 응용 프로그램이 공격자 대신 악의적인 명령을 실행할 수 있습니다.

Process control 취약점은 두 가지 형태로 나타납니다.

- 공격자가 프로그램이 로드하는 라이브러리의 이름을 변경합니다. 공격자가 명시적으로 라이브러리의 이름을 제어합니다.

- 공격자가 라이브러리가 로드되는 환경을 변경합니다. 공격자가 암시적으로 라이브러리 이름의 의미를 제어합니다.

이 경우에는 주로 공격자가 로드되는 라이브러리의 이름을 제어할 수 있는 첫 번째 시나리오를 집중적으로 살펴보겠습니다. 이런 종류의 process control 취약점은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 응용 프로그램에 입력됩니다.



2. 데이터는 응용 프로그램이 로드하는 라이브러리를 나타내는 문자열 또는 문자열의 일부로 사용됩니다.



3. 응용 프로그램은 라이브러리의 코드를 실행하여 공격자에게 공격자가 다른 방법으로는 얻을 수 없는 권한 또는 기능을 부여합니다.

예제 1: 권한 있는 시스템 유틸리티에서 발췌한 다음 코드는 시스템 속성 APPHOME을 사용하여 코드가 설치되는 디렉터리를 결정한 다음 특정 디렉터리 기준 상대 경로를 사용하여 네이티브 라이브러리를 로드합니다.

	...
	$home = getenv("APPHOME");
	$lib = $home + $LIBNAME;
	dl($lib);
	...

이 코드는 시스템 속성 APPHOME을 LIBNAME의 악성 버전이 들어 있는 다른 경로를 가리키도록 수정하기 때문에 공격자가 라이브러리를 로드하고 응용 프로그램에 대한 높은 권한으로 임의의 코드를 실행할 수도 있습니다. 프로그램이 환경에서 읽은 값을 확인하지 않기 때문에, 공격자가 시스템 속성 APPHOME의 값을 제어할 수 있는 경우 응용 프로그램을 조작하여 악성 코드를 실행하게 하고 시스템을 제어할 수 있습니다.

예제 2: 다음 코드는 dl()을 사용하여 sockets.dll이라는 이름의 라이브러리에서 코드를 로드하며, 이는 설치나 구성에 따라 다양한 위치에서 로드될 수 있습니다.

	...
	dl("sockets");
	...

이 때, 문제는 dl()가 로드할 라이브러리에 대해 경로가 아닌 라이브러리 이름을 받는다는 점입니다.

공격자가 응용 프로그램이 로드하려는 파일보다 높은 검색 순서에 sockets.dll의 악성 복사본을 배치하게 되면 응용 프로그램은 의도한 파일이 아닌 악성 복사본을 로드합니다. 응용 프로그램은 그 속성 때문에 높은 권한으로 실행됩니다. 즉, 공격자의 sockets.dll의 내용이 높은 권한으로 실행되어 공격자에게 시스템의 완전한 제어권을 넘겨줄 수 있습니다.

신뢰할 수 없는 소스 또는 신뢰할 수 없는 환경에서 라이브러리를 로드하면 응용 프로그램이 공격자 대신 악의적인 명령을 실행할 수 있습니다. Ruby 내에는 Process Control 및 Command Injection 공격 모두가 수행될 수 있는 일반적인 위치가 있습니다.

Ruby 내에서 Process Control은 명령이 실행될 때 주로 수행될 수 있으며 이 경우 다음 두 공격이 가능해집니다.

1. Process Control
Process Control 취약점은 두 가지 형태로 나타납니다.

- 공격자가 프로그램이 로드하는 라이브러리의 이름을 변경합니다. 공격자가 명시적으로 라이브러리의 이름을 제어합니다.

- 공격자가 라이브러리가 로드되는 환경을 변경합니다. 공격자가 암시적으로 라이브러리 이름의 의미를 제어합니다.

이 경우, 공격자가 프로그램이 명명된 라이브러리의 악성 버전을 로드하도록 환경을 제어할 수 있는 두 번째 시나리오를 중점적으로 다룹니다.

1. 공격자는 응용 프로그램에 악성 라이브러리를 제공합니다.

2. 응용 프로그램은 절대 경로를 지정하거나 로드되는 파일을 확인할 수 없기 때문에 악성 라이브러리를 로드합니다.

3. 응용 프로그램은 라이브러리의 코드를 실행하여 공격자에게 공격자가 다른 방법으로는 얻을 수 없는 권한 또는 기능을 부여합니다.

Process Control은 Windows 플랫폼에서 외부 프로그램을 실행할 때 발생할 수 있는데 이는 명령을 실행하는 데 사용되는 셸이 환경 변수 RUBYSHELL 또는 COMSPEC을 통해 선택되기 때문입니다. 공격자가 현재 환경 내에서 이들 환경 변수 중 하나를 수정할 수 있으면 이러한 환경 변수가 가리키는 프로그램이 권한 또는 실행 중인 Ruby 프로그램을 사용하여 실행된다는 것을 의미합니다.

2. Command Injection
Command injection 취약점은 두 가지 형태로 나타납니다.

- 공격자가 프로그램이 실행하는 명령을 변경합니다. 공격자가 명시적으로 명령 부분을 제어합니다.

- 공격자가 프로그램이 실행되는 환경을 변경합니다. 공격자가 암시적으로 명령의 의미를 제어합니다.

여기서는, 공격자가 환경 변수를 변경하거나 악성 실행 파일을 검색 경로에 삽입하여 명령의 의미를 변경할 수 있는 두 번째 시나리오를 중점적으로 살펴보겠습니다. 이런 종류의 command injection 취약점은 다음 경우에 발생합니다.

1. 공격자가 응용 프로그램의 환경을 수정합니다.

2. 응용 프로그램은 절대 경로 지정 또는 수행하는 이진 파일 확인 등의 작업을 거치지 않고 명령을 실행합니다.

3. 응용 프로그램은 명령을 실행하여 공격자에게 공격자가 다른 방법으로는 얻을 수 없는 권한 또는 기능을 부여합니다.

예제 1: 다음 코드는 Kernel.system()을 실행하여 보통 표준 시스템 디렉터리에 있는 program.exe라는 실행 파일을 실행합니다.

...
system("program.exe")
...

여기서 문제는 다음 두 부분을 가집니다.
1. Windows 플랫폼에서 Kernel.system()은 셸을 통해 무언가를 실행합니다. 공격자가 환경 변수 RUBYSHELL 또는 COMSPEC을 조작할 수 있다면 Kernel.system()에 지정되는 명령으로 호출되는 악성 실행 파일을 가리킬 수 있습니다. 응용 프로그램은 그 속성 때문에 시스템 작업을 수행하는 데 필요한 권한으로 실행됩니다. 즉, 공격자의 program.exe는 이 권한으로 실행되어 공격자에게 시스템의 완전한 제어권을 넘겨줄 수 있습니다.
2. 이 시나리오의 경우 모든 플랫폼에서 문제는 프로그램이 절대 경로를 지정하지 않아 Kernel.system() 호출을 실행하기 전에 환경이 정리되지 않는다는 점입니다. 공격자가 $PATH 변수를 수정하여 program.exe라는 악성 이진 파일을 가리키도록 하고 자신의 환경에서 프로그램을 실행하면 원하는 파일 대신 악성 이진 파일이 로드됩니다. 응용 프로그램은 그 속성 때문에 시스템 작업을 수행하는 데 필요한 권한으로 실행됩니다. 즉, 공격자의 program.exe는 이 권한으로 실행되어 공격자에게 시스템의 완전한 제어권을 넘겨줄 수 있습니다.