Die Schwachstelle Copy Fail entstand durch eine vermeintlich sinnvolle Sicherheitsaktualisierung aus dem Jahr 2017, die die Verschlüsselung von Daten beschleunigen sollte. Ein logischer Fehler im Kryptografie-System des Linux-Kernels ermöglicht es einem unprivilegierten Angreifer, vier spezifische Bytes-Sequenzen in den Arbeitsspeicher einer lesbaren Datei zu schreiben und dadurch die Root-Privilegien des betroffenen Programms zu missbrauchen.
Was Copy Fail besonders tückisch macht: Anders als viele andere lokale Privilege-Escalation-Bugs in Linux arbeitet diese Lücke nicht probabilistisch, sondern funktioniert zuverlässig in 100 Prozent der Fälle. Die Ausnutzung hinterlässt keine Spuren auf der Festplatte, da sie ausschließlich im flüchtigen Speicher stattfindet. Nach einem Neustart sind alle Hinweise auf den Angriff gelöscht.
Die Entdeckung wurde durch eine Kombination aus menschlicher Intuition und künstlicher Intelligenz möglich. Tim Becker, Senior Security Researcher bei Xint, erklärt, dass ein Forscher die Hypothese aufgestellt habe, nach genau dieser Art von Schwachstelle zu suchen, woraufhin die KI-gestützte Scanning-Software den Fehler in der Codebase aufgespürt habe. Diese Methode der AI-unterstützten Schwachstellenforschung hat sich bereits bei anderen Systemen wie PostgreSQL, Redis und MariaDB bewährt, wo KI-Tools über 20 Jahre alte, noch immer exploitbare Bugs identifizierten.
Die potenziellen Angriffsszenarien sind vielfältig und weitreichend. Mit Root-Rechten können Angreifer kritische Systemkonfigurationsdateien manipulieren oder wichtige Programme verändern. Besonders problematisch ist das Szenario in containerisierten Umgebungen wie Kubernetes: Ein Angreifer könnte aus einem Pod in einen anderen entkommen oder sogar auf den Host-System zugreifen. Eine weitere kritische Anwendung liegt im Bereich Continuous Integration (CI): Wenn automatisierte Test- und Build-Pipelines betroffen sind, könnte ein Angreifer in die Prozesse injizierte Exploits verwenden, um sensible Umgebungsvariablen, Deployment-Schlüssel oder API-Tokens zu stehlen.
Für deutsche Unternehmen und öffentliche Einrichtungen ist dies eine dringende Sicherheitsangelegenheit. Eine Kompromittierung durch diese Lücke könnte unter die DSGVO-Meldepflicht fallen und gegebenenfalls Bußgelder bis zu vier Prozent des Jahresumsatzes nach sich ziehen. Das BSI und der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) werden diese Schwachstelle zweifellos als kritisch einstufen. Systemadministratoren sollten unverzüglich überprüfen, ob ihre Systeme betroffen sind, und Patches einspielen. Interessanterweise sind nur alte, ungepatschte Linux-Versionen vor 2017 nicht betroffen.