ユーザーインターフェイス特権の分離

Windows > Windowsのセキュリティ機能 > ユーザーインターフェイス特権の分離

ユーザーインターフェイス特権の分離 (英語: User Interface Privilege Isolation, UIPI)^[1] とは、Windows Server 2008/Vista以降に、シャッターアタック（英語版）（Shatter Attack、壊滅的攻撃）を防ぐために導入されたセキュリティ機能である。Windows NT 4.0以降、Object Managerを介して生成されるオブジェクトにはセキュリティ記述子が与えられ、そうしたオブジェクトへのアクセス制御は可能であったが、ウィンドウオブジェクトにはセキュリティ記述子は与えられず、ウィンドウ自体へのセキュリティ制御はできなかった。

UIPIと必須整合性制御により、同じ対話型デスクトップ内において、低い整合性で実行されているプロセスは、より高い整合性で実行されているプロセスに対して、DLLインジェクションやウィンドウメッセージAPI（SendMessage/PostMessage等）など、任意のコードを他プロセスに実行させることのできる操作を実行できない。

機能

Windowsでは、任意のウィンドウオブジェクトを取得してそのオブジェクトに対してデータを送信する（WM_SETTEXT）ことができるが、言い換えれば、悪意のあるデータを送りつけることが可能である。次の例において、もしメモ帳のプロセスが高い整合性レベルで実行されている場合、UIPIはこうした書き込みをブロックする^[2]。

// ウインドウクラスを元に、メモ帳のウインドウを検索
HWND hwndNotepad = FindWindow(L"notepad", NULL);

// メモ帳のウインドウからエディトコントロールを取得
HWND hWndEdit;
EnumChildWindows(hWndEdit, EnumChildProc, (LPARAM)&hWndEdit);

// エディトコントロールに任意のテキストを設定
BOOL bResult = SendMessage(hWndEdit, WM_SETTEXT, 0, (LPARAM)L"text");

ただし、WM_NULL、WM_MOVE、WM_SIZE、WM_GETTEXT、WM_GETTEXTLENGTH、WM_GETHOTKEY、WM_GETICON、WM_RENDERFORMAT、WM_DRAWCLIPBOARD、WM_CHANGECBCHAIN、WM_THEMECHANGEDはUIPIのブロックする対象ではない^[2]。特に、WM_GETTEXTがブロックされないということは、高ILで実行されているプロセスのウィンドウオブジェクトのデータを読み取ることはできるということである^[2]。

WCHAR wszBuffer[1024];
bResult = SendMessage(hWndEdit, WM_GETTEXT, sizeof(wszBuffer) / sizeof(WCHAR), (LPARAM)wszBuffer);

シャッター攻撃において、バッファーフローを引き起こせるメッセージはWM_COPYDATAとWM_DROPFILESなどがある。例えば、送信側はWM_COPYDATAの自身のサイズ（cbData）を自由に設定できるため、もし受信側が受け取るサイズを静的に定義しているとオーバーフローが起こる可能性がある。当然、UIPIはこれを防ぐため導入されたため、このようなメッセージを低ILプロセスから高ILプロセスに送ることはできない^[2]。

WCHAR          wszData[] = L"message";
COPYDATASTRUCT data = { 0 };

data.cbData = sizeof(wszData); // 0xFFFFFFFFでもよい。
data.lpData = wszData;

SendMessage(hWndTarget, WM_COPYDATA, (WPARAM)hWnd, (LPARAM)&data);

無効化

特定の種類のメッセージのフィルターを無効化

整合性レベル「中（Medium）」以上のプロセスは、ChangeWindowMessageFilterExを使用して、特定の種類のメッセージを許可することができる^[2]。

マニフェストによる完全無効化

例えば、osk.exeは画面にキーボードUIを表示し、ユーザーがキーをクリックすると、その入力を背後のウインドウに送信する。もし、背後のウインドウが昇格したプロセスによって作成されていても、UIPIによってブロックされるべきではない^[2]。

こうしたUIアクセシビリティソフトウェアのような、他のソフトウェアのUIにアクセスするソフトウェアはUIPIが障壁となる。そのため、Windowsは以下の条件を満たしている場合に限り、UIPIの無効化を提供する^[2]。

デジタル署名されている。
%SystemRoot%もしくは%ProgramFiles%にインストールされている。
アプリケーションマニフェストでuiAccess値がtrueである。

<requestedExecutionLevel level="..." uiAccess="true" />

Windows全体で完全に無効化

脚注

^ “Windows Vista および Windows Server 2008 アプリケーション互換性解説書:”. マイクロソフト. 2016年7月3日閲覧。
^ ^a ^b ^c ^d ^e ^f ^g Windows Internals 7th part1. Microsoft

[1] “Windows Vista および Windows Server 2008 アプリケーション互換性解説書:”. マイクロソフト. 2016年7月3日閲覧。

[:0-2] ^ ^a ^b ^c ^d ^e ^f ^g Windows Internals 7th part1. Microsoft

[1]

[2]

表話編歴 Windowsのセキュリティ機能
（括弧内の番号は初版がリリースされた年）
Windows向け	Windows Defender Firewall [2001] Baseline Security Analyzer [2004] 悪意のあるソフトウェアの削除ツール [2005] Windows Defenderウィルス対策 [2005] Windows Defendert SmartScreen（英語版）[2006] Microsoft Security Essentials [2009] Microsoft Safety Scanner [2011]
Windows Server向け	Exchange Online Protection（英語版） [2007] Identity Manager（英語版） [2010] System Center Data Protection Manager（英語版） [2007]
デジタル著作権管理	Protected Media Path（英語版） PlayReady
暗号化	BitLocker DPAPI Cryptographic API Host Guardian Service
関連項目	セキュリティとメンテナンスセキュリティアカウントマネージャー（SAM）（英語版） Kernel Patch Protection（KPP）データ実行防止（DEP）必須整合性コントロール（MIC）ユーザーインターフェイス特権の分離（UIPI）ユーザーアカウント制御（UAC） MS Antivirus（英語版）
開発終了	MSAV [1993] Internet Security and Acceleration Server [1997] Threat Management Gateway [1997] OneCare Safety Scanner [2006] RootkitRevealer [2006] Windows Live OneCare [2006] Unified Access Gateway [2007] Enhanced Mitigation Experience Toolkit[2009] Microsoft Forefront