Login
Newsletter
Werbung

Fr, 21. Oktober 2016, 10:04

Software::Security

Sicherheitslücke im Linux-Kernel ermöglicht lokale Rechteausweitung

Eine gerade behobene Sicherheitslücke im Linux-Kernel ermöglichte es allen Benutzern, Root-Rechte zu erhalten, wenn sie Code auf dem betreffenden System ausführen konnten. Die größten Probleme an dieser Lücke ist indes nicht die Zeit bis zur Korrektur, sondern die Zeit bis zu ihrer Entdeckung und fehlende Aktualisierungen für viele Systeme.

dirtycow.ninja

In den letzten Tagen wurde eine jüngst entdeckte Sicherheitslücke in allen noch unterstützten Linux-Kernel-Versionen geschlossen, die als CVE-2016-5195 registriert wurde. Es handelt sich um eine Wettlaufsituation (Race Condition), bei der zwei parallel laufende Threads, die dieselbe Datenstruktur ändern, falsche Ergebnisse produzieren. Der Fehler ist kritisch, da er Benutzern, die eigenen Code auf dem System ausführen können, schnell Root-Rechte verschaffen kann. Er ist im Copy-on-Write-Code der Speicherverwaltung enthalten und betrifft damit jedes Linux-System.

Entdeckt wurde der Fehler von Phil Oester von Red Hat, die Korrektur kam von Linus Torvalds und wurde mittlerweile in alle noch unterstützten Versionen des Kernels übernommen. Torvalds schreibt dazu, dass der Fehler seit etwa elf Jahren existiert, als Linux 2.6.22 aktuell war. Damals war das Problem rein theoretischer Natur, und ein Versuch, es zu beheben, führte zu Problemen auf der s390-Architektur, weshalb die Korrektur danach wieder zurückgenommen wurde. In der Zwischenzeit wurde die Speicherverwaltung aber weiterentwickelt, und zu einem unbekannten Zeitpunkt wurde es relativ einfach, den Fehler auszunutzen, um Root-Rechte zu erhalten.

Zwischen dem Entstehen des Fehlers und seiner Entdeckung vergingen also Jahre. Dies bestätigt den Trend gerade veröffentlichter Untersuchungen von Kees Cook, denen zufolge Sicherheitslücken im Kernel im Schnitt fünf Jahre lang bestehen, bis sie entdeckt werden. Sind sie erst einmal gefunden, ist ihre Behebung in Tagen oder Stunden zu messen. Aus diesem Grund fordern Kees und andere Sicherheitsforscher seit längerem mehr proaktive Maßnahmen, die die Ausnutzung von Fehlern erschweren oder verhindern. Viele sind bereits im Kernel enthalten, auch Sicherheitsmodule wie AppArmor und SELinux zählen dazu. Weitere Maßnahmen werden inzwischen verstärkt umgesetzt.

Das Problem ist jedoch zum einen, wann die Korrekturen auf die Geräte gelangen. Manche Anwender aktualisieren ihre Systeme nicht, in vielen Fällen sind aber auch die Hersteller das Problem, die keine Updates mehr bereitstellen. Besorgnis muss auch die lange Zeit bis zur Entdeckung verursachen. Denn Geheimdienste und andere Kriminelle suchen aktiv nach Sicherheitslücken, um sie für ihre Zwecke auszunutzen, und können damit unter Umständen eine Weile unentdeckt in Systeme einbrechen. Auch in diesem Fall weist einiges darauf hin, dass die Lücke bereits ausgenutzt wurde. Eine gewisse Abmilderung des Problems ist, dass ein Angreifer zumindest eine weitere Lücke in einer Anwendung braucht, um eigenen Code auf dem System ausführen zu können. Auf gut gepflegten Systemen ist diese Voraussetzung kaum gegeben, und die restlichen Systeme haben bereits genug andere Probleme.

Wie es sich für eine ordentliche Sicherheitslücke im von Linus Torvalds so bezeichneten »Sicherheitstheater« gehört, hat auch CVE-2016-5195 einen Namen, ein Logo und eine Webseite erhalten: Dirty COW, wobei das COW eine gebräuchliche Abkürzung für Copy-On-Write darstellt. »Dirty COW« besitzt aber darüber hinaus auch ein Git-Repositorium, ein Twitter-Konto und einen Shop für Fan-Artikel. Urheber dieser Aktivitäten ist jedoch nicht Phil Oester. Offenbar ist der gesamte Auftritt des unbekannten Urhebers lediglich als Parodie auf verschiedene Sicherheitsforscher gedacht, auch der Fan-Shop ist nicht real.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung