Linux-Kernel-Lücke „Copy Fail": Erste Angriffe auf neun Jahre alten Root-Bug

Zusammenfassung

Eine seit fast einem Jahrzehnt im Linux-Kernel schlummernde Sicherheitslücke wird inzwischen aktiv ausgenutzt. Davor warnt die US-Cybersicherheitsbehörde CISA, die die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen hat. Der unter CVE-2026-31431 geführte und auf den Namen „Copy Fail" getaufte Fehler betrifft nach Angaben aus dem Bericht alle Linux-Distributionen seit 2017. Verwundbar ist das AEAD-Template „authencesn" des Kernels: Über die Lücke können authentifizierte Angreifer mit Rechten zur Codeausführung die Cache-Seite lesbarer setuid-root-Binaries verändern und sich so Root-Rechte verschaffen. Offengelegt wurde Copy Fail am 29. April; CISA nahm sie an einem Freitag in den KEV-Katalog auf und forderte US-Bundesbehörden auf, das Update binnen zwei Wochen einzuspielen. Während die Behörde keine Einzelheiten zur beobachteten Ausnutzung nennt, erklärte Microsoft, bislang nur begrenzte Aktivität in freier Wildbahn festgestellt zu haben, die überwiegend mit dem Test von Proof-of-Concept-Code zusammenhänge. Dennoch gilt die Lücke als ernstzunehmend, da bereits ein funktionierender Exploit veröffentlicht wurde.

Der Kern des Problems liegt im AEAD-Template „authencesn" des Linux-Kernels. Authentifizierte Angreifer, die bereits Code ausführen können, sind dadurch in der Lage, die im Speicher gehaltene Cache-Seite lesbarer setuid-root-Binaries zu manipulieren und ihre Rechte bis auf Root-Ebene auszuweiten. Die Schwachstelle war fast ein Jahrzehnt lang unentdeckt und betrifft laut Bericht sämtliche Linux-Distributionen seit 2017.

CISA stuft den Fehler als aktiv ausgenutzt ein und hat ihn entsprechend in den KEV-Katalog aufgenommen. Bundesbehörden sollen das verfügbare Update innerhalb von zwei Wochen anwenden. Details zu den beobachteten Angriffen legte die Behörde nicht offen.

Microsoft ordnet die Lage etwas genauer ein: Bislang habe man nur begrenzte Ausnutzung in freier Wildbahn registriert, die sich vor allem um das Testen von Proof-of-Concept-Code drehe. Trotz dieser bisher geringen Aktivität warnt der Konzern vor einer breiten Angreifbarkeit, zumal ein funktionsfähiger PoC-Exploit bereits öffentlich verfügbar ist.

Laut Microsoft führt eine erfolgreiche Ausnutzung zu einer vollständigen Rechteausweitung auf Root-Ebene – mit hohen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. Sie könne zudem den Ausbruch aus Containern, die Kompromittierung mehrerer Mandanten und seitliche Bewegungen innerhalb gemeinsam genutzter Umgebungen begünstigen. Besonders gefährlich sei die Lücke wegen ihrer Zuverlässigkeit, ihrer Unauffälligkeit – die Veränderung erfolgt ausschließlich im Arbeitsspeicher – und ihrer plattformübergreifenden Anwendbarkeit in Cloud-, CI/CD- und Kubernetes-Umgebungen, in denen die Ausführung nicht vertrauenswürdigen Codes verbreitet ist.

Ausnutzbar sei Copy Fail durch jeden lokalen, nicht privilegierten Nutzer. Die Lücke lasse sich mit SSH-Zugang, manipulierten CI-Jobs oder Zugriff auf Container verketten, um eine Root-Shell zu erlangen. Eine typische Angriffskette beginne mit der Erkundung eines Containers, der einen verwundbaren Kernel ausführt, und setze sich mit der Ausführung eines kleinen Skripts fort, das Daten im Speicher überschreibt und die Rechte ausweitet.

Microsoft empfiehlt Organisationen, vorrangig potenziell verwundbare Systeme in ihrer Umgebung zu identifizieren, Patches einzuspielen, betroffene Systeme zu isolieren, Zugriffskontrollen umzusetzen und Protokolle auf Anzeichen einer Ausnutzung zu prüfen.

Linux-Kernel-Lücke „Copy Fail": Erste Angriffe auf neun Jahre alten Root-Bug

Ähnliche Artikel

Neueste Artikel