Forscher findet 5 Schwachstellen zur Privilegienerweiterung im Linux-Kernel

Cyber Security News

Oracle-Mitbegründer Larry Ellison hält eine Grundsatzrede auf der Oracle OpenWorld-Konferenz im Jahr 2006. Ein Forscher fand fünf ähnliche Schwachstellen im Kernel von Linux-Betriebssystemen, die es einem Angreifer ermöglichen können, lokale Privilegien im Netzwerk eines Opfers zu erweitern. (Justin Sullivan/Getty Images)

Ein Forscher von Positive Technologies hat fünf ähnliche Sicherheitslücken im Kernel von Linux-Betriebssystemen gefunden, die es einem Angreifer ermöglichen können, lokale Privilegien im Netzwerk eines Opfers zu erweitern.

Die vom Sicherheitsforscher Alexander Popov entdeckten Schwachstellen könnten es einem Angreifer ermöglichen, potenziell Daten zu stehlen, administrative Befehle auszuführen oder Malware auf Betriebssystemen oder Serveranwendungen zu installieren. Popov konnte erfolgreich einen Exploit für eine der Schwachstellen auf Fedora Server 33 testen und informierte die Linux Foundation, ein gemeinnütziges Konsortium zur Standardisierung des Supports für das Open-Source-Linux-System, und andere Parteien per E-Mail am 5. Februar.

“Hallo! Ich möchte Sie über die Schwachstellen im Linux-Kernel informieren, die ich in der AF_VSOCK-Implementierung gefunden habe. Es ist mir gelungen, eine davon für eine lokale Privilegienerweiterung auf Fedora Server 33 für x86_64 unter Umgehung von SMEP und SMAP auszunutzen”, schrieb Popov an die Gruppe und fügte hinzu, dass er plane, “später” weitere Details über die Exploit-Techniken mit ihnen zu teilen.

Popov sagte in der E-Mail, dass er bereits einen Patch entwickelt habe und sich während des gesamten Prozesses an die Richtlinien zur verantwortungsvollen Offenlegung gehalten habe. Er reichte seine Erkenntnisse bei der National Institute of Standards and Technologies’ National Vulnerability Database ein, die sie zu CVE-2021-26708 weiterentwickelte.

Die Schwachstellen wurden vom Common Vulnerability Scoring System mit 7,0 von 10 Punkten für den Schweregrad bewertet. Laut Popov handelt es sich bei den anfälligen Kernel-Modulen um Race Conditions, die in allen wichtigen GNU/Linux-Distributionen vorhanden sind und automatisch geladen werden, wenn ein Socket über den AF_VSOCK-Kern erstellt wird, der für die Kommunikation zwischen virtuellen Gastmaschinen und ihrem Host vorgesehen ist.

Schwachstellen mit Privilegienerweiterung gelten als besonders gefährlich, da sie einem Angreifer ein hohes Maß an Kontrolle innerhalb eines Opfernetzwerks geben können. In einem aktuellen Bericht über Schwachstellen im Zusammenhang mit Ransomware-Operationen stuft RiskSense die Privilegieneskalation neben der Remotecodeausführung als die beiden Arten von Schwachstellen ein, die “das Risiko für ein Unternehmen erheblich erhöhen.”

Sie fanden auch heraus, dass solche Schwachstellen bei Cyberkriminellen und Sicherheitsforschern immer beliebter werden. Mehr als 25 % der neu veröffentlichten CVE-Einträge (Common Vulnerabilities and Exposure) im vergangenen Jahr enthielten irgendeine Komponente der Privilegienerweiterung oder Remotecodeausführung.

Popov hat mindestens zwei weitere Schwachstellen zur Privilegieneskalation in Linux-Kernels gefunden, CVE-2019-18683 im Jahr 2019 und CVE-2017-2636 im Jahr 2017.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com