スタックに対する攻撃とその対策：Beyond Zero-day Attacks（2）（3/3 ページ）

　例外処理を行うコードのアドレスは、配列とGS Cookieの間に配置されます（図8）。

図8　例外処理のメモリー配置

　SEHは、リスト5のexcept(…){} で記載される例外処理を行うHandlerと、次の例外処理を示すNextで構成される一方向リストです（図9）。バッファーオーバーフローにより、Handlerのアドレスを書き換え、何らかの例外処理を発生させることで、Handlerを上書きした任意のアドレスのコードを実行できます。

　この手法は、関数が呼び出し側に戻る前に、つまりGS Cookieのチェック前に、シェルコードが実行されため、プログラムが異常終了する前に攻撃を完了することが可能です。また、図9の吹き出しのようなコードを例外処理とすることで、GS Cookieのチェックを回避して、任意のアドレスに“戻る”ことも可能です。

図9　SEH Overwriteの概念

Safe SEHによる対策（Visual C++ 2003）

　Visual C++ 2003で、Safe SEHと呼ばれるSEH Overwriteの対策が実装されます。Safe SEHオプションを有効にすると、リンク時にプログラムが設定した例外処理ハンドルのテーブルを作成され、実行時にこれをチェックします。例外処理がテーブルに登録されていれば例外処理を実行し、テーブルに登録されていない場合は、上書きされたと判断しプログラムを終了します。

図10　Safe SEH

　しかし、Safe SEHオプションでコンパイル・リンクが行われていないモジュールがある場合、そのモジュールは、テーブルによるチェックが行われず、SEH Overwriteが実行できてしまいます。

図11　Safe SEHオプションが混在した実行イメージ

　このような攻撃の対策として導入されたのが、SEHOP（Structured Exception Handler Overwrite Protection）です。

　SEHOPは、SaefeSEHとは異なり、システムレベルで実装される技術で、Windows Vista SP1、Windows Server 2008 RTMから実装されています。

　SEHOPは、例外処理チェーンの最後に、評価用の値をセット（図12のsehprot!_validation_eh）します。SEH Overwriteにより、Nextポインターが上書きをされると、最終アドレスが評価用の値と異なる値になるため、SEH Overwriteを検出しプログラムを終了します。

図12　SEHOP

安全性を高めるツールの特性を理解する

　今回は、最も伝統的な攻撃手法であるスタックに対する攻撃について取り上げました。ここで取り上げた手法はSEHOPを除き、コンパイラーレベルで実施されるもので、ハードウェアやシステムにかかわらず、広く利用することが可能です。一方で、コンパイル時やリンク時にオプションを設定しないと、対策が実装されないため、プログラム開発者によるセキュリティへの取り組みが重要となります。

図13　脆弱性カテゴリの推移（Microsoft Security Intelligence Report volume 16より引用）

　最初にご紹介したように、スタックに対する攻撃は徐々に減少しており、現在では主要な攻撃手法ではなくなっています（図13）。これは、ここで紹介した対策が確実に実装されるようになったことで、スタックオーバーフローの脆弱性が少なくなったこと、また、スタックオーバーフローの脆弱性があっても、別途紹介するDEPなどの対策により、攻撃を成功させることが難しくなったことが背景となっています。

　次回は、私自身がなかなか理解できていなかった、ヒープオーバーフローについて解説します。