„Dirty Frag": Linux-Schwachstelle vor Patch öffentlich gemacht — Microsoft meldet mögliche Angriffe

Zusammenfassung

Eine neu offengelegte Schwachstelle zur lokalen Rechteausweitung in den großen Linux-Distributionen wird laut Microsoft möglicherweise bereits aktiv ausgenutzt. Der Exploit trägt die Namen Dirty Frag und Copy Fail 2 und verkettet zwei Schwachstellen, die als CVE-2026-43284 und CVE-2026-43500 geführt werden. In Kombination ermöglichen sie es einem Benutzer ohne besondere Rechte, sich Root-Rechte zu verschaffen. Entdeckt und im Rahmen einer verantwortungsvollen Offenlegung gemeldet wurde die Lücke vom Forscher Hyunwoo Kim. Bevor jedoch Patches bereitstehen konnten, machte jemand die Schwachstelle öffentlich — woraufhin Kim die technischen Details sowie Proof-of-Concept-Code veröffentlichte. Betroffen sind die Kernel-Komponenten xfrm-ESP (IPsec) und RxRPC. Besonders gefährdet sind nach Angaben von Ubuntu-Entwicklern Hosts, auf denen keine Container-Workloads laufen. In Container-Umgebungen könnte ein Angreifer Dirty Frag möglicherweise zum Ausbruch aus einem Container nutzen, was bislang allerdings nicht demonstriert wurde. Mehrere Distributionen haben bereits mit der Auslieferung von Patches begonnen.

Dirty Frag ähnelt der 2022 aufgetauchten Lücke Dirty Pipe sowie der kürzlich entdeckten Schwachstelle Copy Fail. Während Copy Fail bereits nachweislich in freier Wildbahn ausgenutzt wurde, berichtet Microsoft, dass auch Dirty Frag möglicherweise missbraucht wird.

Forscher Hyunwoo Kim hob die hohe Zuverlässigkeit des Exploits hervor. „Da es sich um einen deterministischen Logikfehler handelt, der nicht von einem Zeitfenster abhängt, ist keine Race Condition erforderlich, der Kernel stürzt bei einem Fehlschlag des Exploits nicht ab, und die Erfolgsrate ist sehr hoch", erklärte er.

Nach Darstellung von Microsoft lässt sich Dirty Frag ausnutzen, nachdem Angreifer bereits Zugang zum Zielsystem erlangt haben. Dieser Zugang kann auf unterschiedlichen Wegen entstehen, etwa über kompromittierte SSH-Konten, Web-Shell-Zugriff über aus dem Internet erreichbare Anwendungen, den Missbrauch von Dienstkonten, einen Container-Ausbruch in die Host-Umgebung oder die Kompromittierung von Fernzugängen.

Das Defender-Produkt von Microsoft hat nach Unternehmensangaben begrenzte Aktivitäten beobachtet, die auf eine Ausnutzung von Dirty Frag oder Copy Fail hindeuten könnten. „Nach Erlangen erweiterter Rechte verändert der Akteur eine GLPI-LDAP-Authentifizierungsdatei — erkennbar an einer von vim erzeugten .swp-Datei —, führt eine Erkundung des GLPI-Verzeichnisses und der Systemkonfiguration durch und untersucht ein Exploit-Artefakt", erläuterte Microsoft.

Anschließend habe sich die Aktivität auf den Zugriff auf sensible Daten und das Hantieren mit PHP-Sitzungsdateien verlagert: Zunächst seien mehrere Sitzungsdateien gelöscht und weitere gewaltsam überschrieben worden, bevor verbleibende Sitzungsdaten ausgelesen wurden. Laut Microsoft deutet dies sowohl auf eine Störung aktiver Sitzungen als auch auf den Zugriff auf deren Inhalte hin.

Die größte Wirkung entfaltet die Schwachstelle auf Hosts ohne Container-Workloads. Mehrere Linux-Distributionen haben inzwischen begonnen, Patches und Gegenmaßnahmen gegen Dirty Frag bereitzustellen, darunter Red Hat, Amazon Linux, Ubuntu, Fedora und Alma Linux.

„Dirty Frag": Linux-Schwachstelle vor Patch öffentlich gemacht — Microsoft meldet mögliche Angriffe

Ähnliche Artikel

Neueste Artikel