Race Condition: File System Access

A janela de tempo entre o instante em que uma propriedade de um arquivo é verificada e o instante em que o arquivo é usado pode ser explorada para executar um ataque de aumento de privilégios.

Condições de corrida de acesso a arquivos, conhecido como “time-of-check, time-of-use” (TOCTOU), ocorrem quando:

1. O programa verifica uma propriedade de um arquivo, fazendo referência ao arquivo pelo nome.

2. O programa executa posteriormente uma operação do sistema de arquivos usando o mesmo nome de arquivo e considera que a propriedade verificada anteriormente não foi alterada.
Exemplo: O programa a seguir chama a rotina CBL_CHECK_FILE_EXIST para verificar se o arquivo existe antes de criar um e executa as operações necessárias.

  CALL "CBL_CHECK_FILE_EXIST" USING
      filename
      file-details
      RETURNING status-code
  END-CALL

  IF status-code NOT = 0
      MOVE 3 to access-mode
      MOVE 0 to deny-mode
      MOVE 0 to device

      CALL "CBL_CREATE_FILE" USING
          filename
          access-mode
          deny-mode
          device
          file-handle
          RETURNING status-code
      END-CALL
  END-IF

A chamada para CBL_CHECK_FILE_EXIST comporta-se como esperado e retorna um valor não zero, indicando que o arquivo não existe. Entretanto, como tanto CBL_CHECK_FILE_EXIST quanto CBL_CREATE_FILE operam de acordo com nomes de arquivo, em vez de identificadores de arquivo, não há garantia de que a variável filename, ao ser passada para CBL_CREATE_FILE, ainda faça referência ao mesmo arquivo a que se referia ao ser passada para CBL_CHECK_FILE_EXIST. Se um invasor criar filename após a chamada para CBL_CHECK_FILE_EXIST, a chamada para CBL_CREATE_FILE falhará, levando o programa a acreditar que o arquivo está vazio, quando, na realidade, ele contém dados controlados pelo invasor.

A janela de vulnerabilidade para tal ataque é o período entre o instante em que a propriedade é testada e o instante em que o arquivo é usado. Mesmo que o uso ocorra imediatamente após a verificação, os sistemas operacionais modernos não oferecem nenhuma garantia quanto ao volume de código que é executado antes de o processo liberar a CPU. Os invasores contam com uma variedade de técnicas para ampliar a janela de oportunidade e facilitar sua exploração. Entretanto, mesmo com uma janela pequena, uma tentativa de exploração pode ser repetidas várias e várias vezes, até ser bem-sucedida.

Além disso, esse tipo de vulnerabilidade pode se aplicar a um programa com privilégios de root que executa certas operações de arquivo em nome de usuários sem privilégios e usa verificações de acesso para garantir que ele não use seus privilégios de root para executar operações que não deveriam estar disponíveis ao usuário atual. Ao enganar o programa e fazer com que ele execute uma operação que, de outro modo, não seria permitida, o invasor pode aumentar seus privilégios.