Dirty Cow: Linux-Rechteausweitung wird fĂĽr Angriffe missbraucht
Die Lücke im Linux-Kernel, die Entwickler auf Grund ihrer Brisanz als "eklig" bezeichnen, wurde durch einen Angriff auf einen Webserver entdeckt. Da sie offensichtlich schon länger für Angriffe missbraucht wird, sollten Anwender jetzt schnell patchen.
- Fabian A. Scherschel
Die Lücke im Linux-Kernel, die es lokalen Angreifern erlaubt, alle Dateien zu überschreiben, für die sie Leserechte haben, wird bereits aktiv für Angriffe missbraucht. Linux-Kernelentwickler Phil Oester entdeckte sie durch die Analyse von Schadcode, der auf einen seiner Webserver geladen wurde. Wie lange genau auf die Lücke (CVE-2016-5195) schon Angriffe gefahren werden, ist unklar, allerdings klafft sie schon seit neun Jahren im Kernel. Laut Oester ist sie sehr einfach auszunutzen und stellt deswegen eine große Gefahr dar. Angriffe über das Netz sind seiner Einschätzung nach schwieriger, als auf lokalen Systemen, diese Angriffe finden aber offensichtlich statt und haben Erfolg.
Rechte-Erweiterungslücken wie die von Oester entdeckte Schwachstelle werden oft dazu verwendet, sich Root-Rechte zu verschaffen, nachdem der Angreifer durch eine SQL Injection oder einen ähnlichen Angriff Code auf dem System zur Ausführung gebracht hat. Angriffe auf die Infrastruktur oder andere Kunden von Webhostern wären auch denkbar, vor allem, wenn der angegriffene Hoster Shell-Zugriff bereitstellt. Die Schwachstelle wurde mittlerweile Dirty Cow getauft, da sie sich in einer Copy-On-Write-Funktion (COW) des Linux-Kernels befindet.
Eine Lücke, die uns noch lange beschäftigen wird
Die Verortung des Bugs an einer elementaren Stelle des Kernels macht das Problem besonders brisant: Fast jedes System mit einem irgendwie gearteten Linux-Kernel ist davon betroffen – und das seit über neun Jahren. Die veröffentlichen Exploits greifen allerdings auf Systemen nicht, die Schreiboperationen auf /proc/self/mem
einschränken. Das ist zum Beispiel bei neueren Versionen von Red Hat Enterprise Linux (RHEL) der Fall, welche diese Datei mit SELinux-Regeln abschotten. Auch manche Android-Versionen sind ähnlich geschützt. Millionen von billigen Routern und Geräte aus dem Internet der Dinge werden aber wohl noch über Jahre hin angreifbar sein.
Endbenutzer und Systemadministratoren sollten jetzt auf jeden Fall so schnell wie möglich verfügbare Updates für die von ihnen verwalteten Systeme einspielen. Mittlerweile sind die verschiedenen Versionszweige des Linux-Kernels mit Fixes versorgt und jede größere Distribution hat Updates veröffentlicht. Bei Embedded-Geräten bliebt oft nichts anderes übrig, als den Hersteller zu kontaktieren. (fab)