19 Jahre alte Sicherheitslücke im Linux-Kernel ermöglicht Root-Rechte
Sicherheitsexperten haben eine schwerwiegende Schwachstelle im Linux-Kernel aufgedeckt. Diese ermöglicht Angreifern mit eingeschränkten Benutzerrechten die Erlangung von Root-Rechten. Der Bug existiert wohl seit rund 19 Jahren.
Demnach überprüft der Kernel nicht ausreichend, ob bestimmte Authentifizierungsanfragen tatsächlich vom CIFS-Subsystem stammen. Ein lokaler Angreifer kann daher manipulierte Anfragen direkt erzeugen und dabei eigene Parameter einschleusen. Da das Hilfsprogramm mit Root-Rechten ausgeführt wird, lässt sich dieser Mechanismus missbrauchen, um Prozesse in vom Angreifer kontrollierten Namensräumen auszuführen.
Zusätzlich kommt ein weiterer Faktor hinzu: Während der Verarbeitung führt das Hilfsprogramm noch vor dem Absenken seiner Berechtigungen Benutzerabfragen über den Name Service Switch (NSS) durch. Angreifer können dadurch gefälschte NSS-Konfigurationsdateien und manipulierte Module bereitstellen, die anschließend mit Root-Rechten geladen und ausgeführt werden.
Nach Einschätzung des Forschers lässt sich die Schwachstelle beheben, indem nur noch eindeutig vom CIFS-Subsystem erzeugte Schlüsselinformationen akzeptiert werden. Darüber hinaus seien zusätzliche Sicherheitsprüfungen im Userspace sinnvoll, um manipulierte Anfragen frühzeitig zu erkennen.
Die großen Linux-Distributionen haben bereits Anfang des Monats Sicherheitsupdates veröffentlicht. Zudem ist ein Proof-of-Concept-Code verfügbar, mit dem Administratoren die Wirksamkeit von Patches, Schutzmaßnahmen und Erkennungsmechanismen überprüfen können.
Download Ubuntu LTS - Beliebte Linux-Distribution
Siehe auch:
Bug in CIFS
Betroffen von der als "CIFSwitch" bezeichneten Sicherheitslücke ist das CIFS-Subsystem des Linux-Kernels, das für die Anbindung von Netzwerkfreigaben über das SMB-Protokoll zuständig ist. Dazu gehört auch das Hilfsprogramm "cifs.upcall" aus dem Paket cifs-utils, das Authentifizierungsaufgaben übernimmt. Nach Angaben des Sicherheitsforschers Asim Viladi Oglu Manizada enthält die Kommunikation zwischen Kernel und Hilfsprogramm eine Schwachstelle, die eine Rechteausweitung ermöglicht.Demnach überprüft der Kernel nicht ausreichend, ob bestimmte Authentifizierungsanfragen tatsächlich vom CIFS-Subsystem stammen. Ein lokaler Angreifer kann daher manipulierte Anfragen direkt erzeugen und dabei eigene Parameter einschleusen. Da das Hilfsprogramm mit Root-Rechten ausgeführt wird, lässt sich dieser Mechanismus missbrauchen, um Prozesse in vom Angreifer kontrollierten Namensräumen auszuführen.
Zusätzlich kommt ein weiterer Faktor hinzu: Während der Verarbeitung führt das Hilfsprogramm noch vor dem Absenken seiner Berechtigungen Benutzerabfragen über den Name Service Switch (NSS) durch. Angreifer können dadurch gefälschte NSS-Konfigurationsdateien und manipulierte Module bereitstellen, die anschließend mit Root-Rechten geladen und ausgeführt werden.
Nach Einschätzung des Forschers lässt sich die Schwachstelle beheben, indem nur noch eindeutig vom CIFS-Subsystem erzeugte Schlüsselinformationen akzeptiert werden. Darüber hinaus seien zusätzliche Sicherheitsprüfungen im Userspace sinnvoll, um manipulierte Anfragen frühzeitig zu erkennen.
Updates verfügbar
Nicht alle Linux-Systeme sind gleichermaßen betroffen. Verwundbar sind unter anderem bestimmte Versionen von Linux Mint, CentOS, Rocky Linux, Kali Linux, AlmaLinux sowie SLES SAP, sofern cifs-utils standardmäßig installiert ist. Andere Distributionen blockieren den kritischen Ausführungspfad bereits durch Voreinstellungen. Amazon Linux 2 KVM sowie einige ältere Kali-Versionen gelten laut den vorliegenden Analysen als nicht betroffen.Die großen Linux-Distributionen haben bereits Anfang des Monats Sicherheitsupdates veröffentlicht. Zudem ist ein Proof-of-Concept-Code verfügbar, mit dem Administratoren die Wirksamkeit von Patches, Schutzmaßnahmen und Erkennungsmechanismen überprüfen können.
Download Ubuntu LTS - Beliebte Linux-Distribution
Zusammenfassung
- Die als "CIFSwitch" bezeichnete Sicherheitslücke besteht seit etwa 19 Jahren im Linux-Kernel
- Der Bug steckt im CIFS-Subsystem für SMB-Netzwerkfreigaben und dem Hilfsprogramm cifs.upcall
- Der Kernel prüft Authentifizierungsanfragen nicht ausreichend, sodass Angreifer eigene Parameter einschleusen können
- cifs.upcall führt vor dem Rechteabbau NSS-Benutzerabfragen durch, über die manipulierte Module mit Root-Rechten geladen werden
- Betroffen sind Linux Mint, CentOS, Rocky Linux, Kali Linux, AlmaLinux und SLES SAP mit vorinstalliertem cifs-utils
- Große Linux-Distributionen haben bereits Sicherheitsupdates bereitgestellt; ein Proof-of-Concept-Code ist verfügbar
- Die Schwachstelle lässt sich durch ausschließliche Nutzung CIFS-generierter Schlüsselinformationen beheben
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen