Root-Zugriff unter Linux durch Polkit-Lücke
Sicherheitsforscher haben eine Schwachstelle in Polkit entdeckt, die Rechteausweitung ermöglicht. Für viele Distributionen sind bereits Patches verfügbar.
(Bild: Bonnie Fink / Shutterstock.com)
- Stefan Baur
Polkit regelt die Berechtigungen zur Kommunikation von Software im Nutzer-Kontext etwa mit privilegierten Diensten, vergleichbar mit der Windows-Benutzerkontensteuerung; es ist auf praktisch allen aktuellen Linux-Distributionen standardmäßig installiert. Obwohl das Paket eigentlich aus dem Systemd-Umfeld stammt, findet es sich sogar in Systemd-freien Distributionen wie Devuan. Eine Sicherheitslücke in Polkit erlaubt Nutzern das Ausweiten ihrer Rechte am System.
Diese jetzt entdeckte Schwachstelle befindet sich im Befehl pkexec – und das wohl schon seit seinem ersten Release im Mai 2009 (CVE-2021-4034, CVSS etwa bei RedHat 7.8, Risiko hoch). Eine besondere Gemeinheit ist, dass zum Ausnutzen der Lücke der Polkit-Daemon nicht gestartet sein muss. Durch das Leck kann jeder unprivilegierte Nutzer auf einem betroffenen System mittels pkexec an Root-Rechte gelangen. Die Sicherheitsforscher von Qualys haben in ihrer Meldung dem Exploit den Namen "pwnkit" gegeben.
Proof-of-Concept-Exploit für Lücke verfügbar
Obwohl es sich technisch gesehen um eine Speicherverletzung handelt, lässt sich die Lücke laut Qualys auf Anhieb und zuverlässig reproduzierbar ausnutzen, und das auch noch unabhängig von der Architektur. Die Meldung enthält außerdem Erläuterungen zu einem Proof-of-Concept-Exploit (PoC), der allerdings bei Ausführung Spuren in den Logfiles hinterlässt.
Die Entdecker weisen allerdings darauf hin, dass sie auch einen Weg gefunden haben, die Schwachstelle auszunutzen, ohne derartige verräterische Spuren zu hinterlassen. Diese Variante zu finden, überlassen sie "dem interessierten Leser als Hausaufgabe".
Updates und Workaround
Die meisten betroffenen Distributionen stellen bereits über ihre üblichen Updatemechanismen Aktualisierungen für ihre aktuell unterstützten Betriebssystemversionen bereit. Debian für Stretch, Buster und Bullseye, Canonical für Ubuntu 18.04, 20.04 und 21.10, auch bei RedHat finden sich schon Update-Hinweise. Etwa für SuSE steht ein entsprechendes Update offenbar noch aus. [Update] Auch SuSE hat für SLES12 und SLES15 Aktualisierungen bereitgestellt.[/Update]
Als temporären Workaround kann man auf Systemen, für die noch kein Patch verfügbar ist, als root den Befehl chmod 0755 /usr/bin/pkexec ausführen. Dadurch werde das SUID-Bit von pkexec entfernt, erläutert Qualys.
Die Zusammenfassung endet mit dem Kommentar der Forscher, dass es sich bei dieser Sicherheitslücke um eine ihrer allerschönsten Entdeckungen handeln würde; sie legen dem Leser nahe, während des Lesens ein bestimmtes, dort genanntes Musikstück anzuhören, um den Moment zu würdigen. Der Titel des Stücks ist allem Anschein nach eine Anspielung an den Film „War Games“ von 1983. In diesem Sinne: How about a nice game of chess?
[Update 27.01.2022 09:30 Uhr] SuSE hat uns darauf aufmerksam gemacht, dass das Unternehmen gestern ebenfalls Aktualisierungen bereitgestellt hat. Wir haben das im Artikel ergänzt.
(dmk)