SchwachstellenHackerangriffeDatenschutz

CIFSwitch: Kritische Sicherheitslücke in Linux-Kernel ermöglicht Root-Zugriff

Von CyberDeutsch Redaktion
CIFSwitch: Kritische Sicherheitslücke in Linux-Kernel ermöglicht Root-Zugriff
Zusammenfassung

# CIFSwitch: Eine kritische Sicherheitslücke in Linux-Systemen Eine neu entdeckte lokale Sicherheitslücke namens „CIFSwitch" im Linux-Kernel könnte Angreifern ermöglichen, sich Administratorrechte zu verschaffen. Die Schwachstelle betrifft mehrere verbreitete Linux-Distributionen, darunter Ubuntu, Debian, openSUSE und Oracle Linux, sofern diese mit anfälligen Kernel- und cifs-utils-Versionen konfiguriert sind. Das Problem liegt in der CIFS-Implementierung des Kernels, die bei Kerberos-authentifizierten Netzwerkfreigaben nicht ausreichend überprüft, ob Authentifizierungsanfragen tatsächlich vom Kernel stammen. Ein lokaler Angreifer kann diese fehlende Validierung ausnutzen, um manipulierte Anfragen zu erstellen und den privilegierten cifs.upcall-Prozess zu missbrauchen, was letztendlich zur Ausführung von Code mit Root-Berechtigung führt. Für deutsche Nutzer und Unternehmen ist dies besonders relevant, da CIFS häufig in Unternehmensumgebungen zur Integration mit Windows-basierten Netzwerkressourcen eingesetzt wird. Betroffen sind vor allem Systeme, auf denen CIFS-Freigaben mit Kerberos-Authentifizierung genutzt werden und unprivilegierte Benutzer-Namespaces aktiviert sind. Der Kernel-Patch zur Behebung der Lücke steht bereits zur Verfügung, die genauen betroffenen Versionen variieren jedoch je nach Distribution.

Die neu entdeckte Sicherheitslücke CIFSwitch exploitiert ein grundlegendes Validierungsproblem im Linux-Kernel. Das CIFS-Subsystem des Kernels versäumt es, zu überprüfen, ob eingehende cifs.spnego-Schlüsselanfragen tatsächlich vom Kernel selbst stammen. Dies öffnet Angreifern eine Tür: Unprivilegierte Benutzer können gefälschte Authentifizierungsanfragen erzeugen und so den normalen Authentifizierungsworkflow manipulieren.

Wie die Schwachstelle funktioniert, erklärte der SpaceX-Sicherheitsforsche Asim Viladi Oglu Manizada, der CIFSwitch identifizierte und dokumentierte. Wenn ein CIFS-Netzlaufwerk Kerberos-Authentifizierung nutzt, ruft der Kernel als root einen privilegierten Helper-Prozess auf – den cifs.upcall. Der Angreifer zwingt diesen root-Prozess nun, dem attacker-kontrollierten Feldern zu vertrauen. Durch erzwungene Namespace-Switches und gezielte NSS-Lookups (Name Service Switch) kann ein böswilliges NSS-Modul geladen werden, das dem Angreifer Root-Code-Ausführung ermöglicht.

Die Schwachstelle ist bemerkenswert langlebig: Sie wurde vor 19 Jahren, im Jahr 2007, in den Code eingeführt. Laut Manizada ist die Ausnutzung jedoch nicht universell. Mehrere Faktoren müssen zusammenkommen: eine anfällige Kernel-Version, eine anfällige cifs-utils-Version (6.14 und höher, teilweise auch ältere Varianten), die Verfügbarkeit von User Namespaces sowie SELinux- oder AppArmor-Richtlinien, die den Angriff nicht blockieren.

Betroffen sind laut dem Forscher verschiedene Versionen von Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux und Amazon Linux. Allerdings bieten neuere Versionen wie Ubuntu 26.04, Fedora 40-44, CentOS Stream 10 und Rocky Linux 10 durch verstärkte SELinux/AppArmor-Standardkonfigurationen Schutz. Amazon Linux 2 und ältere Kali-Versionen sind gar nicht anfällig, da ihre cifs-utils-Varianten die relevante Funktionalität nicht enthalten.

Die Reparatur ist bereits verfügbar: Ein Kernel-Patch (Upstream-Commit 3da1fdf) validiert nun die Herkunft von cifs.spnego-Anfragen. Allerdings variiert die Integration dieses Patches zwischen Distributionen erheblich. Manizada empfiehlt präventiv, das CIFS-Modul zu deaktivieren, wenn es nicht benötigt wird, das cifs-utils-Paket zu entfernen und unprivilegierte User Namespaces zu deaktivieren. Ein Proof-of-Concept-Exploit steht öffentlich zur Verfügung, um Sicherheitsmaßnahmen zu validieren.

CIFSwitch reiht sich in eine Reihe jüngst entdeckter Linux-Privilegieeskalationslücken ein – etwa Copy Fail, Dirty Frag und PinTheft.

Ähnliche Artikel