CRITICAL🇬🇧 English

CVE-2025-61303

Hatching Triage Sandbox — ominięcie wykrywania przez wyczerpanie zasobów analizy

CVSS 9.8v3.1pub. 2025-10-20upd. 2026-04-15

Podatność w silniku analizy behawioralnej systemu Windows w Hatching Triage Sandbox umożliwia przesłanemu próbce złośliwego oprogramowania uniknięcie wykrycia i zakłócenie procesu analizy. Zagrożenie jest poważne, ponieważ kluczowe złośliwe działania — takie jak wykonanie PowerShell czy aktywność reverse shell — mogą nie zostać zarejestrowane ani zaraportowane.

Pokaż oryginał (EN)

Hatching Triage Sandbox Windows 10 build 2004 (2025-08-14) and Windows 10 LTSC 2021(2025-08-14) contains a vulnerability in its Windows behavioral analysis engine that allows a submitted malware sample to evade detection and cause denial-of-analysis. The vulnerability is triggered when a sample recursively spawns a large number of child processes, generating high log volume and exhausting system resources. As a result, key malicious behavior, including PowerShell execution and reverse shell activity, may not be recorded or reported, misleading analysts and compromising the integrity and availability of sandboxed analysis results.

🤖 Analiza AI
Jak działa

Podatność (CWE-400 — niekontrolowane zużycie zasobów) jest wyzwalana, gdy przesłana próbka rekurencyjnie tworzy dużą liczbę procesów potomnych. Generuje to ekstremalnie wysoki wolumen logów, który prowadzi do wyczerpania zasobów systemowych sandboxa. W konsekwencji silnik analizy behawioralnej nie jest w stanie zarejestrować ani zaraportować wszystkich istotnych zdarzeń, co skutkuje niekompletnym lub mylącym raportem analizy.

Skutki

Atakujący może dostarczyć próbkę złośliwego oprogramowania, która skutecznie ukryje swoje kluczowe działania (np. wykonanie PowerShell, aktywność reverse shell) przed analitykami bezpieczeństwa, kompromitując integralność i dostępność wyników analizy sandbox. Prowadzi to do fałszywego poczucia bezpieczeństwa i może umożliwić dalsze rozprzestrzenianie się złośliwego oprogramowania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się wprowadzenie limitów liczby tworzonych procesów potomnych w analizowanych próbkach oraz monitorowanie wolumenu logów generowanych podczas sesji analizy.

Kogo dotyczy

Hatching Triage Sandbox w wersjach: Windows 10 build 2004 (aktualizacja 2025-08-14) oraz Windows 10 LTSC 2021 (aktualizacja 2025-08-14).

Uwagi

Publiczne repozytorium GitHub (https://github.com/eGkritsis/CVE-2025-61303) wskazuje na istnienie publicznego kodu proof-of-concept dla tej podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-61303 — Hatching Triage Sandbox — ominięcie wykrywania przez wyczerpanie zasobów analizy — CRITICAL 9.8 | CVEbaza.pl