Podatność w silniku analizy behawioralnej systemu Windows w Hatching Triage Sandbox umożliwia przesłanemu próbce złośliwego oprogramowania uniknięcie wykrycia i zakłócenie procesu analizy. Zagrożenie jest poważne, ponieważ kluczowe złośliwe działania — takie jak wykonanie PowerShell czy aktywność reverse shell — mogą nie zostać zarejestrowane ani zaraportowane.
▸ Pokaż oryginał (EN)
Hatching Triage Sandbox Windows 10 build 2004 (2025-08-14) and Windows 10 LTSC 2021(2025-08-14) contains a vulnerability in its Windows behavioral analysis engine that allows a submitted malware sample to evade detection and cause denial-of-analysis. The vulnerability is triggered when a sample recursively spawns a large number of child processes, generating high log volume and exhausting system resources. As a result, key malicious behavior, including PowerShell execution and reverse shell activity, may not be recorded or reported, misleading analysts and compromising the integrity and availability of sandboxed analysis results.
Podatność (CWE-400 — niekontrolowane zużycie zasobów) jest wyzwalana, gdy przesłana próbka rekurencyjnie tworzy dużą liczbę procesów potomnych. Generuje to ekstremalnie wysoki wolumen logów, który prowadzi do wyczerpania zasobów systemowych sandboxa. W konsekwencji silnik analizy behawioralnej nie jest w stanie zarejestrować ani zaraportować wszystkich istotnych zdarzeń, co skutkuje niekompletnym lub mylącym raportem analizy.
Atakujący może dostarczyć próbkę złośliwego oprogramowania, która skutecznie ukryje swoje kluczowe działania (np. wykonanie PowerShell, aktywność reverse shell) przed analitykami bezpieczeństwa, kompromitując integralność i dostępność wyników analizy sandbox. Prowadzi to do fałszywego poczucia bezpieczeństwa i może umożliwić dalsze rozprzestrzenianie się złośliwego oprogramowania.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się wprowadzenie limitów liczby tworzonych procesów potomnych w analizowanych próbkach oraz monitorowanie wolumenu logów generowanych podczas sesji analizy.
Hatching Triage Sandbox w wersjach: Windows 10 build 2004 (aktualizacja 2025-08-14) oraz Windows 10 LTSC 2021 (aktualizacja 2025-08-14).
Publiczne repozytorium GitHub (https://github.com/eGkritsis/CVE-2025-61303) wskazuje na istnienie publicznego kodu proof-of-concept dla tej podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H