Sandbox-Escape
Was ist Sandbox-Escape?
Sandbox-EscapeSchwachstelle oder Exploit-Kette, mit der Code aus einer isolierenden Sandbox — Browser, VM oder Hypervisor — ausbricht und Codeausfuhrung im umgebenden Host erlangt.
Ein Sandbox-Escape uberwindet eine Sicherheitsgrenze, die unzuverlassigen Code eindaemmen soll. Bekannte Beispiele sind Browser-Sandboxes (Renderer-zu-Broker bei Chromium, WebContent-Prozess bei WebKit), Runtimes (V8, JavaScriptCore), Applikations-Sandboxes (macOS Seatbelt, Windows AppContainer), Container-Engines (runc CVE-2019-5736, Docker-Ausbruche) und komplette Hypervisor-Escapes (VENOM CVE-2015-3456 in QEMU, die VMware-ESXi-Escapes, die Team Sniper und Synacktiv 2017 und 2021 bei Pwn2Own demonstrierten). Solche Ketten kombinieren einen Speicherfehler im Sandbox-Prozess mit einer Kernel- oder Hypervisor-Schwachstelle, die die Sandbox-API freilegt. Pwn2Own, Project Zero und das MSRC haben viel offentliche Forschung angestossen und damit Mitigations wie Site Isolation, V8-Sandbox und Hyper-V VBS hervorgebracht.
● Beispiele
- 01
Chrome-0-day-Kette bei Pwn2Own, die aus der Renderer-Sandbox in den Browser-Broker fluechtet.
- 02
VENOM (CVE-2015-3456), das aus dem QEMU-Floppy-Controller in den Host-Kernel entkommt.
● Häufige Fragen
Was ist Sandbox-Escape?
Schwachstelle oder Exploit-Kette, mit der Code aus einer isolierenden Sandbox — Browser, VM oder Hypervisor — ausbricht und Codeausfuhrung im umgebenden Host erlangt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Sandbox-Escape?
Schwachstelle oder Exploit-Kette, mit der Code aus einer isolierenden Sandbox — Browser, VM oder Hypervisor — ausbricht und Codeausfuhrung im umgebenden Host erlangt.
Wie funktioniert Sandbox-Escape?
Ein Sandbox-Escape uberwindet eine Sicherheitsgrenze, die unzuverlassigen Code eindaemmen soll. Bekannte Beispiele sind Browser-Sandboxes (Renderer-zu-Broker bei Chromium, WebContent-Prozess bei WebKit), Runtimes (V8, JavaScriptCore), Applikations-Sandboxes (macOS Seatbelt, Windows AppContainer), Container-Engines (runc CVE-2019-5736, Docker-Ausbruche) und komplette Hypervisor-Escapes (VENOM CVE-2015-3456 in QEMU, die VMware-ESXi-Escapes, die Team Sniper und Synacktiv 2017 und 2021 bei Pwn2Own demonstrierten). Solche Ketten kombinieren einen Speicherfehler im Sandbox-Prozess mit einer Kernel- oder Hypervisor-Schwachstelle, die die Sandbox-API freilegt. Pwn2Own, Project Zero und das MSRC haben viel offentliche Forschung angestossen und damit Mitigations wie Site Isolation, V8-Sandbox und Hyper-V VBS hervorgebracht.
Wie schützt man sich gegen Sandbox-Escape?
Schutzmaßnahmen gegen Sandbox-Escape kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Sandbox-Escape?
Übliche alternative Bezeichnungen: VM-Escape, Hypervisor-Escape, Browser-Sandbox-Escape.
● Verwandte Begriffe
- appsec№ 129
Browser-Sandbox
Isolationsschicht auf Betriebssystemebene, die Renderer- und Hilfsprozesse des Browsers eingrenzt, sodass kompromittierter Webcode weder Dateisystem noch andere Anwendungen erreicht.
- cloud-security№ 211
Container Escape
Ein Exploit, der die Isolation zwischen einem Container und seinem Host durchbricht und dem Angreifer Codeausfuehrung auf dem darunterliegenden Knoten oder Kernel ermoeglicht.
- vulnerabilities№ 399
Exploit
Code, Daten oder Technik, die eine Schwachstelle ausnutzt, um unbeabsichtigtes Verhalten wie Codeausführung, Privilegieneskalation oder Informationsabfluss zu erzwingen.
- defense-ops№ 963
Sandbox-/Emulator-Erkennung
Anti-Analyse-Techniken in Malware, die erkennen, wenn der Host eine Analyse-Sandbox, ein Emulator oder eine VM ist, und sich dann nicht ausfuhrt, um der Erkennung zu entgehen.
- attacks№ 862
Process Injection
Eine Familie von Evasion-Techniken, bei denen ein Angreifer Schadcode im Adressraum eines legitimen Prozesses ausfuehrt, um dessen Vertrauen und Identitaet zu erben.
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
● Siehe auch
- № 1051Site Isolation