„Copy Fail": Linux-Kernel-Lücke betrifft nahezu alle seit 2017 gebauten Systeme

Zusammenfassung

Eine knapp ein Jahrzehnt lang unbemerkte Schwachstelle im Linux-Kernel zwingt Administratoren weltweit zum Handeln. Die als „Copy Fail" bezeichnete Lücke erlaubt es jedem Nutzer mit einem einfachen Konto auf einem betroffenen Rechner, sich vollständige administrative Kontrolle zu verschaffen. Zugleich dient der Fehler als Ausbruchsweg aus Cloud-Containern: Eine kompromittierte Anwendung innerhalb einer vermeintlich isolierten Umgebung kann ausbrechen und den gesamten Host-Server übernehmen — angesichts der Abhängigkeit der Cloud-Branche von Linux-Distributionen ein erhebliches Risiko. Öffentlich gemacht wurde die Schwachstelle in dieser Woche von Forschern der Sicherheitsfirma Theori, die den Fehler nach eigenen Angaben mit einem KI-gestützten Analysewerkzeug namens Xint Code fand. Geführt wird die Lücke unter der Kennung CVE-2026-31431 mit einem CVSS-Basiswert von 7,8. Betroffen ist jede große Linux-Distribution, die seit 2017 erschienen ist, darunter Ubuntu, Red Hat Enterprise Linux, Amazon Linux und SUSE — also die Systeme, auf denen ein Großteil der weltweiten Server und Cloud-Infrastruktur läuft. Patches und Gegenmaßnahmen erreichten die Anwender ab Donnerstag, doch einige Systeme bleiben weiterhin ungeschützt. Sicherheitsforscher und europäische Cybersicherheitsbehörden drängen auf rasches Einspielen der Aktualisierung.

Das Tückische an der Lücke liegt in ihrer Entstehung: Laut Theori geht „Copy Fail" auf drei einzeln betrachtet unauffällige Änderungen am Linux-Kernel zurück, die in den Jahren 2011, 2015 und 2017 vorgenommen wurden. Die Gefahr, die aus ihrer Kombination entstand, erkannte fast ein Jahrzehnt lang niemand.

Der Angriff setzt an der temporären Kopie einer Datei an, die das System im Arbeitsspeicher vorhält, während die Datei in Gebrauch ist. Diese Kopie wird unbemerkt manipuliert, ohne dass das Original auf dem Datenträger angerührt wird. Da gängige Sicherheitswerkzeuge Dateien auf dem Datenträger prüfen statt im Arbeitsspeicher, bemerken sie nichts. Diese Lücke kann ein Angreifer nutzen, um die Vorgaben eines vertrauenswürdigen Systemprogramms umzuschreiben und den Rechner zu übernehmen.

CERT-EU, die Cybersicherheitseinrichtung der EU, gab am Donnerstag eine förmliche Warnung heraus und forderte Administratoren auf, das Kernel-Update einzuspielen, sobald Patches verfügbar sind. Laut CERT-EU wurde zwar bereits am 1. April ein Fix in den zugrunde liegenden Linux-Quellcode eingepflegt — nachdem Theori das Problem am 23. März gemeldet hatte —, doch zum Zeitpunkt der Warnung hatte noch keine große Distribution ihn an die Endnutzer ausgeliefert.

Eine kursierende vorläufige Behelfslösung funktioniert nicht auf allen Distributionen korrekt.

Die US-Behörde Cybersecurity and Infrastructure Security Agency hat die Schwachstelle bislang nicht in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen, was darauf hindeutet, dass sie noch nicht in aktiven Angriffen beobachtet wurde.

„Copy Fail": Linux-Kernel-Lücke betrifft nahezu alle seit 2017 gebauten Systeme

Ähnliche Artikel

Neueste Artikel