Il lato oscuro del sandboxing Windows: vulnerabilità nel Brokering File System

Microsoft ha introdotto circa due anni fa Win32 App Isolation, un meccanismo pensato per rafforzare l’isolamento delle applicazioni sui sistemi Windows client. In parallelo è stato rilasciato il Brokering File System (BFS), un driver incaricato di mediare l’accesso a file system, pipe e registro da parte delle applicazioni eseguite in ambienti isolati, rendendolo una componente potenzialmente interessante dal punto di vista della sicurezza.

In questo contesto si colloca il CVE-2025-29970, una vulnerabilità di tipo use-after-free individuata nel driver bfs.sys, inizialmente scoperta da HT3Labs. L’analisi tecnica è stata condotta sulla versione 26100.4061 del driver e riguarda un errore nella gestione della memoria associata alle strutture interne di BFS.

BFS nasce insieme ad AppContainer e successivamente ad AppSilo, con l’obiettivo di controllare le operazioni di I/O provenienti da contesti isolati. Per farlo utilizza una serie di strutture dati che consentono di applicare policy di accesso basate su utente, applicazione e percorso, garantendo al contempo buone prestazioni.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Al centro di questo meccanismo c’è la PolicyTable, che memorizza le singole PolicyEntry in una tabella hash. Ogni PolicyEntry rappresenta una regola di accesso e include informazioni come il SID dell’utente, il SID dell’AppContainer e un riferimento a uno StorageObject, oltre a un contatore di riferimenti utilizzato per la gestione del ciclo di vita.

Lo StorageObject contiene i dettagli sui percorsi regolati dalla policy e utilizza più strutture interne, tra cui una DirectoryBlockList, una lista concatenata che rappresenta file e sottodirectory associati alla policy. Questa lista viene allocata quando viene aperta una directory radice e popolata con una o più voci nel corso del tempo.

La vulnerabilità CVE-2025-29970 emerge durante la fase di rimozione di una policy, in particolare nella funzione BfsCloseStorage. Durante la deallocazione della DirectoryBlockList, l’inizio della lista viene liberata all’interno del ciclo che scorre gli elementi, causando una dereferenziazione di memoria già liberata nel caso in cui la lista contenga più di una voce.

Microsoft ha corretto il problema separando la logica di deallocazione. Con l’introduzione della funzione BfsCloseRootDirectory, tutti gli elementi della lista concatenata vengono liberati prima della deallocazione della sua testa, eliminando così la condizione di use-after-free alla radice.

Dal punto di vista dello sfruttamento, la vulnerabilità offre margini limitati: il puntatore coinvolto non consente letture o scritture arbitrarie e la finestra temporale tra la liberazione della memoria e il suo riutilizzo è estremamente ridotta. Nonostante ciò, il caso conferma come driver legati al sandboxing restino una superficie d’attacco rilevante, soprattutto con l’aumento delle funzionalità di isolamento su Windows.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.