Race Condition: File System Access

파일 속성이 확인되는 시점과 파일이 사용되는 시점 사이의 시간을 악용하여 권한 에스컬레이션 공격을 시작할 수 있습니다.

TOCTOU(Time-Of-Check, Time-Of-Use)라고 알려진 파일 액세스 경합 상태는 다음과 같은 경우에 발생합니다.

1. 프로그램이 파일을 이름으로 참조하여 파일의 속성을 검사합니다.

2. 프로그램이 나중에 동일한 파일 이름을 사용하여 파일 시스템 작업을 수행하며 이전에 검사한 속성이 변경되지 않았다고 가정합니다.
예제: 다음 프로그램은 파일을 만들고 필요한 작업을 수행하기 전에 CBL_CHECK_FILE_EXIST 루틴을 호출하여 파일이 존재하는지 확인합니다.

  CALL "CBL_CHECK_FILE_EXIST" USING
      filename
      file-details
      RETURNING status-code
  END-CALL

  IF status-code NOT = 0
      MOVE 3 to access-mode
      MOVE 0 to deny-mode
      MOVE 0 to device

      CALL "CBL_CREATE_FILE" USING
          filename
          access-mode
          deny-mode
          device
          file-handle
          RETURNING status-code
      END-CALL
  END-IF

CBL_CHECK_FILE_EXIST 호출이 예상대로 작동하고 0이 아닌 값을 반환합니다. 이는 파일이 없음을 나타냅니다. 하지만 CBL_CHECK_FILE_EXIST 및 CBL_CREATE_FILE은 모두 파일 핸들 대신 파일 이름을 사용하여 작업하기 때문에 filename 변수가 CBL_CHECK_FILE_EXIST에 전달되었을 때 참조하던 파일과 CBL_CREATE_FILE에 전달될 때 참조하는 파일이 여전히 동일한 것이라는 보장이 없습니다. 공격자가 CBL_CHECK_FILE_EXIST 호출 이후에 filename을 만들 경우, CBL_CREATE_FILE 호출은 실패하며 프로그램은 파일이 비어 있다고 믿게 됩니다. 실제로는 공격자가 제어하는 데이터가 파일 안에 들어 있습니다.

이러한 공격에 취약한 시간은 속성이 테스트된 시점부터 파일이 사용될 시점까지의 기간입니다. 확인 직후에 사용하더라도 최신 운영 체제에서는 프로세스가 CPU를 더 이상 사용하지 않을 때까지 얼마만큼의 코드 양이 실행될 것인지를 알 수 없습니다. 공격자는 익스플로이트를 더 쉽게 이용하기 위해 기회의 시간을 늘릴 수 있는 다양한 기술을 보유하고 있습니다. 하지만 짧은 기간 안에도 성공할 때까지 익스플로이트 시도를 단순히 계속 반복할 수 있습니다.

또한 이 유형의 취약점은 권한 없는 사용자를 대신하여 특정 파일 작업을 수행하고 액세스 검사를 사용하여 현재 사용자가 사용해서는 안 되는 작업을 수행하는 데 루트 권한을 사용하지 못하도록 하는 root 권한이 있는 프로그램에 적용될 수 있습니다. 허용되지 않는 작업을 수행하도록 프로그램을 속이면 공격자가 승격된 권한을 얻을 수 있습니다.