SchwachstellenHackerangriffeCyberkriminalität

DirtyDecrypt: Neue Linux-Schwachstelle mit öffentlichem Exploit gefährdet Root-Zugriff

Von CyberDeutsch Redaktion
DirtyDecrypt: Neue Linux-Schwachstelle mit öffentlichem Exploit gefährdet Root-Zugriff
Zusammenfassung

Die Linux-Sicherheitscommunity warnt vor einer neuen lokalen Privilege-Escalation-Schwachstelle namens DirtyDecrypt, für die nun ein funktionierendes Exploit-Proof-of-Concept verfügbar ist. Die Sicherheitslücke betrifft das rxgk-Modul des Linux-Kernels und ermöglicht es Angreifern mit lokalem Zugang, Root-Rechte auf betroffenen Systemen zu erlangen. Obwohl die Schwachstelle bereits im April gepatcht wurde, erhöht die Verfügbarkeit eines praktischen Exploits das Risiko erheblich. Betroffen sind vornehmlich Linux-Distributionen, die dem aktuellen Upstream-Kernel folgen, darunter Fedora, Arch Linux und openSUSE Tumbleweed – sofern die RxGK-Sicherheitsunterstützung aktiviert ist. Für deutsche Nutzer und Unternehmen, die diese Distributionen einsetzen, bedeutet dies ein unmittelbares Handlungserfordernis. Besonders kritisch ist die Situation, da DirtyDecrypt Teil einer Serie ähnlicher Root-Escalation-Flaws ist und Sicherheitsbehörden wie die CISA bereits Warnungen vor aktiven Exploits vergleichbarer Schwachstellen ausgegeben haben. Bundesbehörden und Unternehmen sollten dringend ihre Linux-Systeme aktualisieren, um zu verhindern, dass Angreifer die Lücke für unbefugten Zugriff missbrauchen.

Die DirtyDecrypt-Schwachstelle ist eine lokale Privilege-Escalation-Lücke im rxgk-Modul des Linux-Kernels. Sie entsteht durch einen fehlenden Copy-on-Write-Schutz (COW-Guard) in der Funktion rxgk_decrypt_skb, der zu einer unautorisierten Pagecache-Schreiboperation führt. Das Sicherheitsforschungsteam V12 entdeckte diese Lücke am 9. Mai 2026 unabhängig und meldete sie dem Linux-Kernel-Team – erhielt aber die Antwort, dass es sich um ein Duplikat einer bereits behobenen Schwachstelle handele.

Die Lücke ist an CVE-2026-31635 gebunden und wurde am 25. April 2026 im Mainline-Kernel gepatcht. Allerdings ist die Ausnutzung an eine spezifische Voraussetzung gekoppelt: Der Linux-Kernel muss mit der CONFIG_RXGK-Option kompiliert sein. Diese Konfiguration aktiviert RxGK-Sicherheitsunterstützung für den Andrew File System (AFS)-Client und ermöglicht sichere Netzwerkkommunikation. Dies begrenzt zwar die Angriffsfläche erheblich, doch moderne Distributionen, die dicht am Upstream folgen, sind betroffen – vor allem Fedora, Arch Linux und openSUSE Tumbleweed.

Das Exploit wurde bislang nur gegen Fedora und den Mainline-Kernel erfolgreich getestet. DirtyDecrypt reiht sich in eine besorgniserregende Serie von Kernel-Schwachstellen ein, darunter Dirty Frag, Fragnesia und Copy Fail. Besonders alarmierend ist, dass Copy Fail bereits aktiv von Cyberkriminellen ausgenutzt wird. Die US-Cybersecurity and Infrastructure Security Agency (CISA) fügte Copy Fail am 1. Mai ihrer Liste kritischer, in Angriffen genutzter Schwachstellen hinzu und forderte US-Behörden auf, ihre Linux-Systeme innerhalb von zwei Wochen zu sichern.

Für Nutzer, die ihr System nicht sofort patchen können, empfiehlt V12 die gleichen Mitigationsmaßnahmen wie für Dirty Frag. Allerdings muss gewarnt werden: Diese Workarounds beeinträchtigen IPsec-VPNs und AFS-Netzwerkdateisysteme erheblich. Linux-Nutzer sollten daher sofort ihre Kernel-Updates einspielen. Deutsche Unternehmen und Behörden mit Linux-basierten IT-Infrastrukturen sollten zeitnah ihre Systeme überprüfen und kritische Patches unverzüglich einspielen.

Ähnliche Artikel