Set0820208 Settembre 202015 Settembre 20200Commentidi Ermanno Goletto

Vulnerabilità zero day in Windows Sandbox

Pubblicato in Security

In Windows 10 Pro, Enterprise o Education Build versione 1903 build 18305 (May 2019 Update) o successive è disponibile la funzionalità di sicurezza Windows sandbox che ha l’obbiettivo di offre un ambiente desktop leggero per eseguire in modo sicuro le applicazioni in isolamento.

Il reverse engineer Jonas Lykkegaard ha pubblicato il 2 settembre 2020 un tweet che mostra come un utente senza privilegi può creare un file in cartelle di sistema come la cartella %WinDir%\System32. Per dimostrare la vulnerabilità, Lykkegaard ha creato in %WinDir%\System32 un file vuoto denominato phoneinfo.dll. Poiché il creatore di un file è anche il proprietario (owner), un utente malintenzionato può creare un file utilizzarlo per inserire codice malevolo nel sistema che verrebbe eseguito con privilegi elevati quando necessario. Sebbene apportare modifiche in %WinDir%\System32 richiederebbe privilegi elevati queste restrizioni sono irrilevanti quando Hyper-V è attivo.

Tale vulnerabilità è sfruttabile solo se Hyper-V è attivo, ma l’introduzione della funzionalità Windows Sandbox con l’aggiornamento di maggio 2019 per Windows 10 versione 1903 abilita automaticamente Hyper-V. Quindi le versioni di Windows 10 Pro, Enterprise o Education versione 1903 e successiva sono vulnerabili, non risultano invece vulnerabili le versioni LTSC e LTSB di Windows 10 in quanto Windows 10 Enterprise 2019 LTSC è basata su Windows 10 versione 1809 e non contiene la funzionalità Windows Sandbox.

Anche Will Dormann CERT/CC vulnerability analyst in un tweet del 3 settembre 2020 ha confermato che la vulnerabilità esiste e che sfruttarla non richiede letteralmente alcuno sforzo da parte di un aggressore sull’host e che, in base alla sua analisi, il componente vulnerabile è “storvsp.sys” (Storage VSP – Virtualization Service Provider) un componente Hyper-V lato server.

Al momento Microsoft non ha ancora rilasciato commenti a riguardo e in attesa di una soluzione è consigliabile disabilitare la funzionalità Windows Sandbox e assicurarsi che Hyper-V non sia abilitato. Infatti dal momento che Windows Sandbox abilita Hyper-V oltre a rendere il sistema attaccabile tramite la vunerabilità scoperta da Jonas Lykkegaard e confermata da Will Dormann consente anche di sfruttare le altre vunerabilità legate a Hyper-V come ad esempio la CVE-2020-0909 ( a riguardo si veda CVE-2020-0909 | Windows Hyper-V Denial of Service Vulnerability).

Per ulteriori informazioni si veda l’articolo Windows 10 Sandbox activation enables zero-day vulnerability.

[Update 01]

Il 14 settembre 2010 anche il CSIRT (Computer Security Incident Response Team – Italia) ha riportato l’avviso della vulnerabilità, a riguardo si veda Individuata vulnerabilità zero-day che sfrutta Windows Sandbox (AL01/200914/CSIRT-ITA).