Eine erfolgreiche Ausnutzung von DirtyDecrypt setzt voraus, dass der Linux-Kernel mit der Option CONFIG_RXGK übersetzt wurde. Diese aktiviert die RxGK-Sicherheitsunterstützung für den Client und den Netztransport des Andrew File System (AFS). Dadurch beschränkt sich die Angriffsfläche auf Distributionen, die den jeweils neuesten Upstream-Kerneln dicht folgen — darunter Fedora, Arch Linux und openSUSE Tumbleweed. Der Proof-of-Concept-Exploit von V12 wurde nach eigenen Angaben allerdings nur gegen Fedora und den Mainline-Kernel getestet.
Das V12-Team hatte die Schwachstelle nach eigener Darstellung gefunden und gemeldet, erfuhr von den Maintainern aber, dass sie bereits als Duplikat im Mainline-Kernel gepatcht war. In ihrer Beschreibung verweisen die Forscher auf einen Pagecache-Schreibzugriff in rxgk, der auf einer fehlenden Copy-on-Write-Absicherung in rxgk_decrypt_skb zurückgeht; weitere Einzelheiten finden sich in der mitgelieferten Datei poc.c.
DirtyDecrypt gehört zur selben Schwachstellenklasse wie mehrere weitere Lücken zur Rechteausweitung, die in den vergangenen Wochen offengelegt wurden, darunter Dirty Frag, Fragnesia und Copy Fail. Nutzer potenziell betroffener Distributionen sollten die aktuellen Kernel-Updates so schnell wie möglich einspielen. Wer nicht sofort patchen kann, soll dieselbe Gegenmaßnahme wie bei Dirty Frag anwenden — diese unterbricht jedoch zugleich IPsec-VPNs und verteilte AFS-Netzwerkdateisysteme.
Die Veröffentlichung folgt auf jüngste Berichte, wonach Angreifer die Schwachstelle Copy Fail inzwischen aktiv ausnutzen. Die US-Behörde CISA nahm Copy Fail am 1. Mai in ihre Liste der in Angriffen ausgenutzten Schwachstellen auf und verpflichtete Bundesbehörden, ihre Linux-Geräte binnen zwei Wochen — also bis zum 15. Mai — abzusichern. Diese Art von Schwachstelle sei ein häufiger Angriffsweg für böswillige Akteure und stelle ein erhebliches Risiko für die Bundesverwaltung dar, warnte die Behörde.
Bereits im April hatten Linux-Distributionen Patches für eine weitere Schwachstelle zur Rechteausweitung ausgeliefert: Die als Pack2TheRoot bezeichnete Lücke steckte im PackageKit-Daemon und war fast zwölf Jahre lang unbemerkt geblieben.
