V12 beschreibt die Lücke in einem Hinweis als lokalen Exploit zur Rechteausweitung, der auf einem Zerocopy-Double-Free in RDS beruht und sich über io_uring-Fixed-Buffers in ein Überschreiben des Page-Cache verwandeln lässt.
Den technischen Kern verortet das Team im Zerocopy-Sendepfad von RDS. Die Funktion rds_message_zcopy_from_user() fixiert Benutzerseiten („pinnt") einzeln nacheinander. Schlägt eine spätere Seite mit einem Fault fehl, gibt der Fehlerpfad die bereits fixierten Seiten frei. Bei der späteren Bereinigung der RDS-Nachricht werden dieselben Seiten ein zweites Mal freigegeben, weil die Scatterlist-Einträge und der Eintragszähler nach dem Löschen des Zcopy-Notifiers weiterhin aktiv bleiben. Jeder fehlgeschlagene Zerocopy-Sendevorgang entwendet so eine Referenz der ersten Seite.
Der veröffentlichte PoC nutzt dies aus, indem er FOLL_PIN-Referenzen abzieht, bis io_uring einen gestohlenen Page-Zeiger hält, und so eine Root-Shell öffnet.
Für eine erfolgreiche Ausnutzung müssen mehrere Bedingungen zusammenkommen: Neben dem geladenen RDS-Modul muss die Linux-I/O-Schnittstelle io_uring aktiviert sein, es muss ein lesbares SUID-Root-Binary vorhanden sein, und für die enthaltene Payload ist x86_64-Unterstützung nötig. Das schränkt die Angriffsfläche nach Darstellung von V12 deutlich ein: Unter den getesteten gängigen Distributionen sei das RDS-Kernelmodul nur bei Arch Linux standardmäßig aktiv.
Nutzer betroffener Distributionen sollten die neuesten Kernel-Updates so schnell wie möglich installieren. Wer nicht sofort patchen kann, kann laut V12 auf eine Gegenmaßnahme zurückgreifen, um Ausnutzungsversuche zu blockieren.
PinTheft reiht sich in eine Serie weiterer Linux-Schwachstellen zur lokalen Rechteausweitung (LPE) ein, die in den vergangenen Wochen offengelegt wurden — darunter auch Zero-Days ohne verfügbaren Patch. Übers Wochenende veröffentlichten Sicherheitsforscher PoC-Exploits für eine andere kürzlich geschlossene Linux-LPE-Lücke (geführt als DirtyDecrypt und DirtyCBC), die zur selben Schwachstellenklasse gehört wie weitere Root-Escalation-Fehler, etwa Dirty Frag, Fragnesia und Copy Fail.
Zudem gibt es Berichte, wonach Angreifer die Copy-Fail-Schwachstelle aktiv ausnutzen. Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) nahm Copy Fail am 1. Mai in ihre Liste der in Angriffen ausgenutzten Schwachstellen auf und wies Bundesbehörden an, ihre Linux-Systeme binnen zwei Wochen abzusichern. Im vergangenen Monat verteilten Linux-Distributionen außerdem Patches für eine Lücke zur Rechteausweitung (Pack2TheRoot, im PackageKit-Daemon), die mehr als ein Jahrzehnt unentdeckt geblieben war.
