Trusted Design
This technique has been deprecated. Please use Path Interception by PATH Environment Variable, Path Interception by Search Order Hijacking, and/or Path Interception by Unquoted Path.
Path interception occurs when an executable is placed in a specific path so that it is executed by an application instead of the intended target. One example of this was the use of a copy of cmd in the current working directory of a vulnerable application that loads a CMD or BAT file with the CreateProcess function. (Citation: TechNet MS14-019)
There are multiple distinct weaknesses or misconfigurations that adversaries may take advantage of when performing path interception: unquoted paths, path environment variable misconfigurations, and search order hijacking. The first vulnerability deals with full program paths, while the second and third occur when program paths are not specified. These techniques can be used for persistence if executables are called on a regular basis, as well as privilege escalation if intercepted executables are started by a higher privileged process.
Service paths (stored in Windows Registry keys) (Citation: Microsoft Subkey) and shortcut paths are vulnerable to path interception if the path has one or more spaces and is not surrounded by quotation marks (e.g., C:\unsafe path with space\program.exe vs. "C:\safe path with space\program.exe"). (Citation: Baggett 2012) An adversary can place an executable in a higher level directory of the path, and Windows will resolve that executable instead of the intended executable. For example, if the path in a shortcut is C:\program files\myapp.exe, an adversary may create a program at C:\program.exe that will be run instead of the intended program. (Citation: SecurityBoulevard Unquoted Services APR 2018) (Citation: SploitSpren Windows Priv Jan 2018)
The PATH environment variable contains a list of directories. Certain methods of executing a program (namely using cmd.exe or the command-line) rely solely on the PATH environment variable to determine the locations that are searched for a program when the path for the program is not given. If any directories are listed in the PATH environment variable before the Windows directory, %SystemRoot%\system32 (e.g., C:\Windows\system32), a program may be placed in the preceding directory that is named the same as a Windows program (such as cmd, PowerShell, or Python), which will be executed when that command is executed from a script or command-line.
For example, if C:\example path precedes C:\Windows\system32 is in the PATH environment variable, a program that is named net.exe and placed in C:\example path will be called instead of the Windows system "net" when "net" is executed from the command-line.
Search order hijacking occurs when an adversary abuses the order in which Windows searches for programs that are not given a path. The search order differs depending on the method that is used to execute the program. (Citation: Microsoft CreateProcess) (Citation: Hill NT Shell) (Citation: Microsoft WinExec) However, it is common for Windows to search in the directory of the initiating program before searching through the Windows system directory. An adversary who finds a program vulnerable to search order hijacking (i.e., a program that does not specify the path to an executable) may take advantage of this vulnerability by creating a program named after the improperly specified program and placing it within the initiating program's directory.
For example, "example.exe" runs "cmd.exe" with the command-line argument net user. An adversary may place a program called "net.exe" within the same directory as example.exe, "net.exe" will be run instead of the Windows system utility net. In addition, if an adversary places a program called "net.com" in the same directory as "net.exe", then cmd.exe /C net user will execute "net.com" instead of "net.exe" due to the order of executable extensions defined under PATHEXT. (Citation: MSDN Environment Property)
Search order hijacking is also a common practice for hijacking DLL loads and is covered in DLL Search Order Hijacking.
T1034「Path Interception」(パスの横取り) は、OSがプログラムを起動する際の「ファイルパスの指定や検索順序」の不備を突き、正規のプログラムの代わりに悪意のあるファイルをOSに実行させる手法です。
この手法は「永続化(Persistence)」と「特権昇格(Privilege Escalation)」の目的で広く利用されます。
この手法で攻撃者は、「システムや正規のアプリが持つ起動権限を悪用し、自分のコードを身代わりとして実行させる」ことを実現します。
特権昇格:
高い権限(SYSTEM権限など)で動くサービスが、攻撃者のファイルを読み込むことで、その攻撃コードもSYSTEM権限で動作します。
永続化:
ユーザーが特定のアプリを起動するたび、またはシステムがサービスを開始するたびに、攻撃者のプログラムが自動で実行されます。
ステルス性:
新しいサービスを登録するのではなく、既存の「正しいサービス」の起動プロセスを横取りするため、異常として検知されにくいのが特徴です。
最も代表的な 「引用符で囲まれていないサービスパス(Unquoted Service Path)」 の例を挙げます。
脆弱なサービスの特定:
パスにスペース(空白)が含まれており、かつ引用符(")で囲まれていないサービスを探します。
C:\Program Files\My Service\Launcher.exe実行ファイルの配置:
Windowsはパスを解釈する際、前から順に「実行ファイルを探す」挙動をとります。攻撃者は以下のような場所にマルウェアを配置します。
C:\Program.exeC:\Program Files\My.exe横取り:
システムが Launcher.exe を起動しようとすると、Windowsは正規のファイルを探しに行く前に、先に見つけた C:\Program.exe を先に実行してしまいます。
設定の不備を修正し、アクセス権を厳格にすることが鍵です。
引用符の徹底:
サービスやレジストリに登録するパスは、必ず引用符で囲むよう修正します。
"C:\Program Files\My Service\Launcher.exe"ディレクトリ権限の管理:
C:\ 直下や C:\Program Files\ など、一般ユーザーが自由に書き込めないようアクセス制御リスト(ACL)を厳格に設定します。
不審なファイル名の監視:
攻撃者がパスの横取りを狙って作成しがちな Program.exe や Common.exe といったファイルが、不適切な場所に作成されていないか監視します。
脆弱性スキャンの実施:
スクリプトやスキャンツールを使用して、環境内に「Unquoted Service Path」が存在しないか定期的にチェックします。
仕様の悪用:
この手法は、Windowsの古い仕様(後方互換性)を逆手に取った攻撃です。
「書き込み権限」が前提:
攻撃者が横取り用のファイルを置くための書き込み権限がない限り成立しません。このため、システムの設定ミスと権限管理の甘さが重なった時に被害が最大化します。
CWE-428:
Unquoted Search Path or Element(引用符で囲まれていない検索パスの不備)。
CWE-427:
Uncontrolled Search Path Element(実行ファイルの検索パスが不適切に制御されている問題)。
特定の製品でこの設定不備が見つかった際、CVEとして公開されることがあります。
CVE-2016-0040:
Windowsのセカンダリログオンサービスにおけるパス解釈ミスに関連した特権昇格の脆弱性。
CVE-2013-1609:
Symantec Endpoint Protectionにおけるサービスパス設定不備による特権昇格の例。
コマンドプロンプトで以下のコマンドを実行すると、引用符で囲まれていない怪しいサービスをリストアップできます。一度自社の環境で確認することをお勧めします。
wmic service get name,displayname,pathname,startmode | findstr /i "auto" | findstr /i /v "c:\windows\\" | findstr /i /v """
この攻撃手法に関連する CVE は登録されていません。