翻译《The Old New Thing》 - Why .shared sections are a security hole

Why .shared sections are a security hole - The Old New Thing (microsoft.com)https://devblogs.microsoft.com/oldnewthing/20040804-00/?p=38253

Raymond Chen 2004年08月04日

许多人会推荐使用共享数据节作为在应用程序的多个实例之间共享数据的一种方式。这听起来是个好主意，但实际上它是一个安全漏洞。

由CreateFileMapping函数正确创建的共享内存对象是可以被保护的。它们有安全描述符，允许你指定哪些用户被允许拥有什么级别的访问权限。相比之下，任何加载了你的EXE或DLL的人都可以访问你的共享内存节。

让我用一个故意不安全的程序来演示。

拿一个scratch程序并进行以下更改：

#pragma comment(linker, “/SECTION:.shared,RWS”)
#pragma data_seg(“.shared”)
int g_iShared = 0;
#pragma data_seg()
void CALLBACK TimerProc(HWND hwnd, UINT, UINT_PTR, DWORD)
{int iNew = g_iShared + 1;if (iNew == 10) iNew = 0;g_iShared = iNew;InvalidateRect(hwnd, NULL, TRUE);
}
BOOL
OnCreate(HWND hwnd, LPCREATESTRUCT lpcs)
{SetTimer(hwnd, 1, 1000, TimerProc);return TRUE;
}
void
PaintContent(HWND hwnd, PAINTSTRUCT *pps)
{TCHAR sz[2];wsprintf(sz, TEXT(“%d”), g_iShared);TextOut(pps->hdc, 0, 0, sz, 1);
}

继续运行这个程序。它不断地从0数到9。由于TimerProc函数从不让g_iShared超过9，wsprintf对缓冲区溢出是安全的。

或者不是？

运行这个程序。然后使用runas实用工具以不同用户身份运行这个程序的第二个副本。为了更有趣，让一个用户是管理员，另一个不是管理员。

注意计数器以双倍速度计数。这是可以预期的，因为计数器是共享的。

好的，现在关闭一个副本，然后在调试器下重新启动它。（如果你让管理员的副本自由运行，并且在调试器下运行非管理员的副本，那会更有趣。）

让两个程序都运行，然后在调试器中中断并更改变量g_iShared的值为一个非常大的数字，比如说1000000。

现在，根据你的调试器的侵入性，你可能会或可能不会看到崩溃。一些调试器是“有帮助的”，并且“取消共享”共享内存节，当你从调试器中更改它们的值时。对于调试（也许），对于我的演示（绝对是）是不好的。

这是我如何使用内置的ntsd调试器做到的。

我打开了一个命令提示符，它以我自己的身份运行（我不是管理员）。

然后我使用runas实用程序以管理员身份运行scratch程序。

我将使管理员的scratch程序副本崩溃，尽管我只是一个无聊的普通非管理员用户。

从正常的命令提示符，我输入了“ntsd scratch”在调试器下运行scratch程序。