Как PROCESS_DUP_HANDLE превращается в PROCESS_ALL_ACCESS +15


В MSDN'овской статье Process Security and Access Rights есть интересная ремарка:


… if process A has a handle to process B with PROCESS_DUP_HANDLE access, it can duplicate the pseudo handle for process B. This creates a handle that has maximum access to process B.

Если вольно перевести это на русский, то тут говорится, что имея описатель на процесс с правом доступа PROCESS_DUP_HANDLE мы можем, используя функцию DuplicateHandle(...), получить описатель с максимально разрешенными масками доступа на этот процесс.



Демонстрация


Исходный код, эксплуатирующий эту особенность, достаточно простой:


#include <Windows.h>

int wmain(int argc, PWSTR argv[])
{
    HANDLE ProcessAllAccessHandle;
    HANDLE ProcessDuplicateHandle = OpenProcess(PROCESS_DUP_HANDLE, FALSE, _wtoi(argv[1]));
    if (ProcessDuplicateHandle)
    {
        if (DuplicateHandle(ProcessDuplicateHandle, 
                            GetCurrentProcess(),
                            GetCurrentProcess(),
                            &ProcessAllAccessHandle,
                            0,
                            FALSE,
                            DUPLICATE_SAME_ACCESS))
        {
            CloseHandle(ProcessAllAccessHandle);
        }
        CloseHandle(ProcessDuplicateHandle);
    }
    return 0;
}

В результате компиляции и линковки получаем тестовую утилиту, которая в качестве аргумента принимает идентификатор целевого процесса (PID). Затем утилита открывает указанный процесс с правом PROCESS_DUP_HANDLE. Тем самым мы моделируем необходимое условие наличия описателя на процесс с правом PROCESS_DUP_HANDLE (== 0x40).


В качестве демонстрации я буду трассировать собранную утилиту в WinDbg:


0:000> lsa @$ip 0,3
>   13:     if (ProcessDuplicateHandle)
    14:     {
    15:         if (DuplicateHandle(ProcessDuplicateHandle, 
0:000> !handle @@C++(ProcessDuplicateHandle) 3
Handle 80
  Type          Process
  Attributes    0
  GrantedAccess 0x40:
         None
         DupHandle
  HandleCount   9
  PointerCount  260518

А затем легким движением руки вызовом DuplicateHandle(...) получаем второй описатель на тот же процесс, но уже с максимально широкими правами:


0:000> lsa @$ip 0,3
>   23:             CloseHandle(ProcessAllAccessHandle);
    24:         }
    25:         CloseHandle(ProcessDuplicateHandle);
0:000> !handle @@C++(ProcessAllAccessHandle) 3
Handle 84
  Type          Process
  Attributes    0
  GrantedAccess 0x1fffff:
         Delete,ReadControl,WriteDac,WriteOwner,Synch
         Terminate,CreateThread,,VMOp,VMRead,VMWrite,DupHandle,CreateProcess,SetQuota,SetInfo,QueryInfo,SetPort
  HandleCount   10
  PointerCount  292877

Ключевой момент — значение GrantedAccess, которое у нового описателя равно 0x1fffff, что соответствует PROCESS_ALL_ACCESS. К сожалению, WinDbg не выводит PID целевого процесса. Но что бы убедиться, что описатель получен на нужный процесс, можно посмотреть на описатели Process Explorer'ом (предварительно уточнив в отладчике указанный в аргументах командной строки PID):


0:000> dx argv[1]
argv[1]                 : 0x1b7c2e2412c : "21652" [Type: wchar_t *]


На скриншоте утилита открывает описатели на запущенный notepad.exe.


Почему так происходит?


Во первых потому, что при дублировании описателя, если не расширяется маска доступа к объекту (а у нас специально указан флаг операции DUPLICATE_SAME_ACCESS), не происходит проверки того, что процесс (в котором будет создан продублированный описатель) имеет доступ к этому объекту. Проверяется только то, что переданные в функцию DuplicateHandle(...) описатели процессов имеют разрешенную маску доступа PROCESS_DUP_HANDLE. А далее копирование описателя между процессами происходит без проверки прав доступа (повторюсь: если у нового описателя маска разрешенных прав не шире, чем у исходного дублируемого описателя).


А затем нужно отметить, что вызов GetCurrentProcess() возвращает константу, тот самый псевдо-описатель (pseudo handle), упомянутый в самом начале этой публикации. Существуют два документированных псевдо-описателя с константными значениями, которые физически отсутствую в таблице описателей процесса. Но эти описатели обрабатываются всеми функциями ядра (наряду с обычными описателями из таблицы описателей процесса):


Макрос Значение Описание
ZwCurrentProcess/NtCurrentProcess (HANDLE)-1 Описатель текущего процесса
ZwCurrentThread/NtCurrentThread (HANDLE)-2 Описатель текущей нити

Именно значение NtCurrentProcess (== -1) возвращает вызов GetCurrentProcess().


Этот псевдо-описатель в рамках конкретного процесса означает объект этого самого процесса с правами PROCESS_ALL_ACCESS (на самом деле есть нюансы, но статья не о них). Получается такая ссылка на самого себя, но через описатель:


То есть наш вызов DuplicateHandle(ProcessDuplicateHandle, GetCurrentProcess(), ...) будет трактован так: из открытого (целевого) процесса дублируй описатель со значением -1. А для целевого процесса (того, на который у нас сохранен описатель в переменной ProcessDuplicateHandle) значение -1 и будет ссылаться на этот самый целевой процесс с правами PROCESS_ALL_ACCESS. Поэтому в результате мы получаем описатель на целевой процесс с максимальными правами.


Вместо эпилога


Повторю мысль, написанную в самом начале: если кто-то получает на процесс описатель с правом PROCESS_DUP_HANDLE, то в рамках модели безопасности Windows он сможет получить другой описатель на этот же процесс, но с правами PROCESS_ALL_ACCESS (и сделать с процессом все, что ему заблагорассудится).


Спасибо всем, кто дочитал публикацию до конца. Приглашаю всех желающих пройти опрос, что бы узнать насколько подобные публикации могут быть интересны/полезны аудитории.




К сожалению, не доступен сервер mySQL