Перехват пути

**Эта техника была объявлена устаревшей. Пожалуйста, используйте Перехват пути через переменную среды PATH, Перехват пути через подмену порядка поиска и/или Перехват пути через незаключенный в кавычки путь.** Перехват пути происходит, когда исполняемый файл помещается в определенный путь, чтобы он выполнялся приложением вместо предполагаемой цели. Одним из примеров этого было использование копии cmd в текущем рабочем каталоге уязвимого приложения, которое загружает файл CMD или BAT с помощью функции CreateProcess. Существует несколько различных слабостей или неправильных конфигураций, которыми злоумышленники могут воспользоваться при выполнении перехвата пути: незаключенные в кавычки пути, неправильные конфигурации переменной среды пути и подмена порядка поиска. Первая уязвимость касается полных путей к программам, в то время как второе и третье происходят, когда пути к программам не указаны. Эти техники могут использоваться для закрепления, если исполняемые файлы вызываются регулярно, а также для повышения привилегий, если перехваченные исполняемые файлы запускаются процессом с более высокими привилегиями. ### Незаключенные в кавычки пути Пути к службам (хранящиеся в ключах реестра Windows) и пути к ярлыкам уязвимы для перехвата пути, если путь содержит один или несколько пробелов и не заключен в кавычки (например, C:\unsafe path with space\program.exe против "C:\safe path with space\program.exe"). Злоумышленник может поместить исполняемый файл в каталог более высокого уровня пути, и Windows разрешит этот исполняемый файл вместо предполагаемого. Например, если путь в ярлыке — C:\program files\myapp.exe, злоумышленник может создать программу C:\program.exe, которая будет запущена вместо предполагаемой программы. ### Неправильная конфигурация переменной среды PATH Переменная среды PATH содержит список каталогов. Определенные методы выполнения программы (а именно использование cmd.exe или командной строки) полагаются исключительно на переменную среды PATH для определения мест, в которых выполняется поиск программы, когда путь к программе не указан. Если какие-либо каталоги перечислены в переменной среды PATH перед каталогом Windows, %SystemRoot%\system32 (например, C:\Windows\system32), программа может быть помещена в предшествующий каталог с тем же именем, что и программа Windows (такая как cmd, PowerShell или Python), которая будет выполнена при выполнении этой команды из скрипта или командной строки. Например, если C:\example path предшествует C:\Windows\system32 в переменной среды PATH, программа с именем net.exe, помещенная в C:\example path, будет вызвана вместо системной программы Windows «net» при выполнении «net» из командной строки. ### Подмена порядка поиска Подмена порядка поиска происходит, когда злоумышленник злоупотребляет порядком, в котором Windows ищет программы, для которых не указан путь. Порядок поиска различается в зависимости от метода, используемого для выполнения программы. Однако обычно Windows выполняет поиск в каталоге инициирующей программы перед поиском в системном каталоге Windows. Злоумышленник, который находит программу, уязвимую для подмены порядка поиска (то есть программу, которая не указывает путь к исполняемому файлу), может воспользоваться этой уязвимостью, создав программу с именем неправильно указанной программы и поместив её в каталог инициирующей программы. Например, «example.exe» запускает «cmd.exe» с аргументом командной строки net user. Злоумышленник может поместить программу с именем «net.exe» в тот же каталог, что и example.exe, и будет запущен «net.exe» вместо системной утилиты Windows net. Кроме того, если злоумышленник поместит программу с именем «net.com» в тот же каталог, что и «net.exe», то cmd.exe /C net user выполнит «net.com» вместо «net.exe» из-за порядка расширений исполняемых файлов, определенного в PATHEXT. Подмена порядка поиска также является распространенной практикой для перехвата загрузки DLL и рассматривается в подмена порядка поиска DLL.