Sandbox Escape
¿Qué es Sandbox Escape?
Sandbox EscapeVulnerabilidad o cadena de exploits que permite a un codigo escapar de un sandbox aislante — navegador, VM o hipervisor — para lograr ejecucion en el entorno anfitrion.
El sandbox escape consiste en romper una frontera de seguridad pensada para confinar codigo no confiable. Los ejemplos mas publicos son los sandboxes de navegador (renderer-broker de Chromium, proceso WebContent de WebKit), runtimes (V8, JavaScriptCore), sandboxes de aplicacion (Seatbelt en macOS, AppContainer en Windows), motores de contenedores (runc CVE-2019-5736, fugas de Docker) y escapes completos de hipervisor (VENOM CVE-2015-3456 en QEMU, los escapes de VMware ESXi demostrados en Pwn2Own 2017 y 2021 por Team Sniper y Synacktiv). Las cadenas combinan un bug de corrupcion de memoria en el proceso sandbox con una vulnerabilidad de kernel o hipervisor expuesta por la API. Pwn2Own, Project Zero y MSRC han impulsado la investigacion publica que dio lugar a mitigaciones como Site Isolation, V8 Sandbox y Hyper-V VBS.
● Ejemplos
- 01
Cadena 0-day de Chrome en Pwn2Own que escapa del sandbox del renderer para ejecutar codigo en el broker.
- 02
VENOM (CVE-2015-3456) saliendo del controlador de disquete de QEMU al kernel del host.
● Preguntas frecuentes
¿Qué es Sandbox Escape?
Vulnerabilidad o cadena de exploits que permite a un codigo escapar de un sandbox aislante — navegador, VM o hipervisor — para lograr ejecucion en el entorno anfitrion. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Sandbox Escape?
Vulnerabilidad o cadena de exploits que permite a un codigo escapar de un sandbox aislante — navegador, VM o hipervisor — para lograr ejecucion en el entorno anfitrion.
¿Cómo funciona Sandbox Escape?
El sandbox escape consiste en romper una frontera de seguridad pensada para confinar codigo no confiable. Los ejemplos mas publicos son los sandboxes de navegador (renderer-broker de Chromium, proceso WebContent de WebKit), runtimes (V8, JavaScriptCore), sandboxes de aplicacion (Seatbelt en macOS, AppContainer en Windows), motores de contenedores (runc CVE-2019-5736, fugas de Docker) y escapes completos de hipervisor (VENOM CVE-2015-3456 en QEMU, los escapes de VMware ESXi demostrados en Pwn2Own 2017 y 2021 por Team Sniper y Synacktiv). Las cadenas combinan un bug de corrupcion de memoria en el proceso sandbox con una vulnerabilidad de kernel o hipervisor expuesta por la API. Pwn2Own, Project Zero y MSRC han impulsado la investigacion publica que dio lugar a mitigaciones como Site Isolation, V8 Sandbox y Hyper-V VBS.
¿Cómo defenderse de Sandbox Escape?
Las defensas contra Sandbox Escape combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Sandbox Escape?
Nombres alternativos comunes: VM escape, Hypervisor escape, Escape del sandbox del navegador.
● Términos relacionados
- appsec№ 129
Sandbox del Navegador
Capa de aislamiento a nivel de sistema operativo que confina el renderer y procesos auxiliares del navegador para que el código web comprometido no acceda al sistema de archivos u otras aplicaciones.
- cloud-security№ 211
Container Escape
Exploit que rompe el aislamiento entre un contenedor y su host, permitiendo al atacante ejecutar codigo en el nodo o el kernel subyacente.
- vulnerabilities№ 399
Exploit
Código, datos o técnica que aprovecha una vulnerabilidad para provocar un comportamiento no previsto, como ejecución de código, escalada de privilegios o fuga de información.
- defense-ops№ 963
Deteccion de Sandbox / Emulador
Tecnicas anti-analisis del malware que reconocen cuando se ejecutan en sandbox, emulador o maquina virtual y se niegan a desplegar su payload para evadir el analisis.
- attacks№ 862
Inyeccion de procesos
Familia de tecnicas de evasion en la que el atacante ejecuta codigo malicioso dentro del espacio de memoria de un proceso legitimo para heredar su confianza e identidad.
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
● Véase también
- № 1051Aislamiento de Sitios