SchwachstellenHackerangriffeCyberkriminalität

PinTheft: Exploit für kritische Linux-Kernel-Schwachstelle veröffentlicht

Von CyberDeutsch Redaktion
PinTheft: Exploit für kritische Linux-Kernel-Schwachstelle veröffentlicht
Zusammenfassung

Eine neue Linux-Sicherheitslücke namens PinTheft gefährdet Arch-Linux-Systeme erheblich: Das Sicherheitsteam V12 hat einen öffentlich verfügbaren Exploit für eine Kernel-Schwachstelle veröffentlicht, die lokalen Angreifern ermöglicht, Root-Rechte zu erlangen. Die Lücke existiert in der RDS-Komponente (Reliable Datagram Sockets) des Linux-Kernels und wurde kürzlich gepatcht. Der Exploit funktioniert durch einen Double-Free-Fehler in der RDS-Zerocopy-Funktion, der zu einem Speicher-Überschreiben über io_uring führt. Zwar erfordert PinTheft spezifische Voraussetzungen wie aktiviertes RDS-Modul, io_uring und SUID-Root-Binärdateien, was die Angriffsfläche einschränkt – doch das RDS-Modul ist standardmäßig nur auf Arch Linux aktiviert. Deutsche Nutzer von Arch Linux sollten sofort Kernel-Updates einspielen, ebenso betroffene Unternehmen und Behörden. Dies ist Teil einer besorgniserregenden Serie von Linux-Privileg-Eskalationen: CISA warnt bereits vor aktiver Ausnutzung der Copy-Fail-Lücke und forderte Regierungsbehörden auf, ihre Linux-Systeme innerhalb von zwei Wochen zu sichern. Die Häufung dieser kritischen Sicherheitslücken signalisiert ein wachsendes Risiko für die Infrastruktur-Sicherheit.

Das Sicherheitsteam V12 beschreibt PinTheft als einen lokalen Privilege-Escalation-Exploit, der auf einem RDS-Zerocopy-Double-Free-Bug basiert und durch io_uring-Fixed-Buffer in einen Page-Cache-Overwrite verwandelt werden kann. Der Fehler liegt in der RDS-Zerocopy-Sendefunktion, wo die Funktion rds_message_zcopy_from_user() Benutzerspeicher-Pages einzeln anpinnt. Tritt bei einer späteren Page ein Fehler auf, gibt der Error-Path die bereits angehefteten Pages frei – jedoch werden sie später erneut freigegeben, da die Scatterlist-Einträge und die Anzahl aktiv bleiben, nachdem der Zerocopy-Notifier gelöscht wurde. Jeder fehlgeschlagene Zerocopy-Sendeversuch stiehlt eine Referenz von der ersten Page.

Der veröffentlichte Exploit stiehlt systematisch FOLL_PIN-Referenzen, bis io_uring einen gestohlenen Page-Pointer hält, und ermöglicht dadurch die Erlangung einer Root-Shell. Ein entscheidender Faktor ist jedoch die beschränkte Angriffsfläche: PinTheft erfordert nicht nur das geladene RDS-Modul, sondern auch spezifische Bedingungen wie die aktivierte io_uring-API, ein lesbares SUID-Root-Binary und x86_64-Prozessor-Unterstützung für das Payload-Code. Das RDS-Kernel-Modul ist nach Aussage von V12 nur bei Arch Linux unter den getesteten verbreiteten Distributionen standardmäßig aktiviert.

Anwender betroffener Systeme sollten dringend die neuesten Kernel-Updates einspielen. Für Systeme, auf denen ein sofortiges Patchen nicht möglich ist, empfehlen die Forscher alternative Mitigations-Maßnahmen zur Blockierung von Exploitations-Versuchen.

Diese Veröffentlichung folgt auf eine Serie weiterer Linux-Privilege-Escalation-Flaws. In den vergangenen Wochen wurden DirtyDecrypt und DirtyCBC bekannt – Exploits, die zur gleichen Schwachstellenklasse gehören wie Dirty Frag, Fragnesia und Copy Fail. Besonders kritisch ist Copy Fail, das die US-Cybersecurity- und Infrastructure Security Agency (CISA) in ihre Liste aktiv genutzter Sicherheitslücken aufnahm und Bundesbehörden zu sofortiger Abhilfe aufforderte.

Das BSI in Deutschland beobachtet diese Entwicklungen aufmerksam und empfiehlt Administratoren und Privatnutzern, Kernel-Updates zeitnah einzuspielen und ihre Systeme regelmäßig zu überwachen.

Ähnliche Artikel