SchwachstellenCloud-SicherheitHackerangriffe

Copy Fail: Kritische Linux-Schwachstelle wird jetzt aktiv ausgenutzt

Von CyberDeutsch Redaktion
Copy Fail: Kritische Linux-Schwachstelle wird jetzt aktiv ausgenutzt
Zusammenfassung

Eine kritische Linux-Kernel-Sicherheitslücke namens „Copy Fail" wird nun aktiv ausgenutzt, wie die US-amerikanische Cybersecurity-Behörde CISA warnt. Die Schwachstelle CVE-2026-31431 schlummerte fast ein Jahrzehnt lang in allen Linux-Distributionen seit 2017 und ermöglicht es authentifizierten Angreifern mit Code-Ausführungsrechten, sich Root-Zugriff zu verschaffen. Nach ihrer Offenlegung am 29. April hat CISA die Lücke in ihre Liste bekannter ausgenutzer Schwachstellen aufgenommen und fordert Bundesbehörden zur Behebung innerhalb von zwei Wochen auf. Microsoft beobachtet bislang begrenzte Ausnutzung im Freien, hauptsächlich im Zusammenhang mit Proof-of-Concept-Tests. Allerdings warnt der Konzern vor der Gefahr: Die Anfälligkeit betrifft Cloud-, CI/CD- und Kubernetes-Umgebungen und könnte zu vollständiger Privilegienerweiterung, Container-Durchbrüchen und lateralen Bewegungen in Shared-Environments führen. Für deutsche Unternehmen und Behörden mit Linux-Infrastrukturen, insbesondere im Cloud- und Containerbereich, besteht dringender Handlungsbedarf. Organisationen sollten vulnerablen Systeme identifizieren, Patches zeitnah einspielen, Zugriffe beschränken und Logs auf Exploitationszeichen überprüfen.

Die Schwachstelle CVE-2026-31431 betrifft das Authentisierungs-AEAD-Template des Linux-Kernels. Ein authentifizierter Angreifer mit Code-Ausführungsrechten kann damit den Cache-Seiten von ausführbaren Setuid-Root-Binärdateien manipulieren und seine Privilegien bis auf Root-Ebene eskalieren. Nach seiner Offenlegung am 29. April folgte schnell die Einstufung als aktiv ausgenutzt.

Microsoft berichtet zwar von bislang limitierter Ausnutzung in der Praxis – hauptsächlich im Kontext von Proof-of-Concept-Tests – warnt aber vor der eigentlichen Gefahr: Ein funktionierender Exploit ist öffentlich verfügbar, was die Einstiegshürde für Angreifer drastisch senkt. Die Manipulation erfolgt ausschließlich im Arbeitsspeicher, hinterlässt keine direkten Spuren auf der Festplatte und erschwert damit die Nachverfolgung erheblich.

Besonders kritisch ist die Anwendbarkeit in modernen IT-Umgebungen: Container, Kubernetes-Cluster und Cloud-Infrastrukturen sind ideale Ziele. Ein erfolgreicher Exploit ermöglicht nicht nur Privilege Escalation, sondern auch Container Breakout – der Durchbruch aus isolierten Umgebungen in das Host-System. In Multi-Tenant-Szenarien, wie sie bei vielen deutschen Cloud-Providern Standard sind, könnte ein Angreifer von einem kompromittierten Container in andere Kundenumgebungen eindringen.

Die Angriffskette ist bemerkenswert simpel: Ein lokaler, nicht-privilegierter Nutzer kann ein kleines Skript ausführen, um in-Memory-Daten zu überschreiben. Die Kombination mit SSH-Zugang oder böswilligen CI/CD-Jobs schafft zusätzliche Einstiegswege. Organisationen mit Kubernetes-Deployments sollten besonders wachsam sein.

Microsoft empfiehlt sofortiges Handeln: Identifizierung anfälliger Systeme, Patch-Installation, Isolation betroffener Maschinen, Verschärfung von Zugriffskontrollen und Überprüfung von Audit-Logs auf Exploit-Spuren. Für deutsche Unternehmen gilt zusätzlich: Meldepflichten unter der DSGVO könnten bei erfolgreicher Ausnutzung und Datenzugriff greifen. Das BSI wird voraussichtlich konkrete Handlungsempfehlungen veröffentlichen.

Ähnliche Artikel