Sandboxie-Plus is an open source sandbox-based isolation software for Windows. In versions 1.17.2 and earlier, several ProcessServer handlers (KillAllHandler, SuspendAllHandler, and RunSandboxedHandler) copy a WCHAR boxname[34] field from request structures into WCHAR[40] stack buffers using wcscpy without verifying null termination. Because the service pipe accepts variable-length packets larger than the request structure, an attacker can fill the boxname field with non-zero data and append additional controlled wide characters after the structure. wcscpy then reads past the fixed field and overflows the destination stack buffer. The service pipe is created with a NULL DACL, allowing any local process to connect, and the unsafe copy occurs before authorization checks. This can lead to a crash of the SbieSvc service or potential code execution as SYSTEM. This issue has been fixed in version 1.17.3.
CVE-2026-34462 is a critical stack buffer overflow vulnerability in Sandboxie-Plus versions 1.17.2 and earlier affecting the ProcessServer service. An unauthenticated local attacker can exploit unsafe wcscpy operations in multiple handlers to overflow stack buffers and achieve code execution as SYSTEM. The vulnerability is particularly severe as the service pipe has a NULL DACL, allowing any local process to connect without authentication.
IMMEDIATE ACTIONS:
1. Identify all systems running Sandboxie-Plus versions 1.17.2 or earlier using asset inventory and endpoint detection tools
2. Restrict local access to affected systems through network segmentation and access controls
3. Disable Sandboxie-Plus ProcessServer if not actively required
4. Monitor for exploitation attempts targeting the service pipe (\Device\NamedPipe\SbieSvc)
PATCHING GUIDANCE:
1. Upgrade to Sandboxie-Plus version 1.17.3 or later immediately when available
2. Prioritize patching systems in high-risk environments (SOCs, malware analysis labs, government networks)
3. Test patches in isolated environments before production deployment
COMPENSATING CONTROLS (if patching delayed):
1. Implement application whitelisting to restrict process execution on affected systems
2. Deploy HIPS/behavioral monitoring to detect abnormal SbieSvc process behavior
3. Use Windows Defender Application Guard or similar isolation technology as alternative
4. Restrict local administrative access and enforce principle of least privilege
5. Implement file integrity monitoring on system binaries
DETECTION RULES:
1. Monitor for wcscpy-related crashes in SbieSvc (Event ID 1000 in Application logs)
2. Alert on unexpected SbieSvc process termination and restart cycles
3. Detect attempts to connect to \Device\NamedPipe\SbieSvc from non-standard processes
4. Monitor for stack overflow exceptions (0xC00000FD) in SbieSvc
5. Track unusual memory access patterns in ProcessServer handlers using ETW tracing
الإجراءات الفورية:
1. تحديد جميع الأنظمة التي تقوم بتشغيل Sandboxie-Plus الإصدارات 1.17.2 أو أقدم باستخدام أدوات جرد الأصول والكشف عن نقاط النهاية
2. تقييد الوصول المحلي للأنظمة المتأثرة من خلال تقسيم الشبكة والتحكم في الوصول
3. تعطيل خادم Sandboxie-Plus ProcessServer إذا لم يكن مطلوباً بنشاط
4. مراقبة محاولات الاستغلال التي تستهدف أنبوب الخدمة (\Device\NamedPipe\SbieSvc)
إرشادات التصحيح:
1. الترقية إلى Sandboxie-Plus الإصدار 1.17.3 أو أحدث فوراً عند توفره
2. إعطاء الأولوية لتصحيح الأنظمة في البيئات عالية المخاطر (مراكز العمليات الأمنية، معامل تحليل البرامج الضارة، الشبكات الحكومية)
3. اختبار التصحيحات في بيئات معزولة قبل نشرها في الإنتاج
الضوابط البديلة (إذا تأخر التصحيح):
1. تنفيذ قائمة بيضاء للتطبيقات لتقييد تنفيذ العمليات على الأنظمة المتأثرة
2. نشر مراقبة HIPS/السلوكية للكشف عن السلوك غير الطبيعي لعملية SbieSvc
3. استخدام Windows Defender Application Guard أو تقنية عزل مماثلة كبديل
4. تقييد الوصول الإداري المحلي وفرض مبدأ أقل امتياز
5. تنفيذ مراقبة سلامة الملفات على الملفات الثنائية للنظام
قواعد الكشف:
1. مراقبة أعطال wcscpy المتعلقة بـ SbieSvc (معرف الحدث 1000 في سجلات التطبيق)
2. التنبيه على إنهاء عملية SbieSvc غير المتوقع ودورات إعادة التشغيل
3. الكشف عن محاولات الاتصال بـ \Device\NamedPipe\SbieSvc من العمليات غير القياسية
4. مراقبة استثناءات تجاوز المكدس (0xC00000FD) في SbieSvc
5. تتبع أنماط الوصول إلى الذاكرة غير العادية في معالجات ProcessServer باستخدام تتبع ETW