„Copy Fail“: Linux-root in allen großen Distributionen mit 732 Byte Python

Im Linux-Kernel haben IT-Forscher eine Schwachstelle entdeckt, die Angreifer zum Erlangen von root-Rechten missbrauchen können. Die Entdecker haben die Schwachstelle „Copy Fail“ getauft. Eigentlich alle Linux-Distributionen, die seit 2017 verfügbar sind, sollen davon betroffen sein.

Das schreiben die IT-Forscher in einem Blog-Beitrag, der Bericht ist ihnen jedoch sogar eine eigene Domain wert. Die Lücke haben sie offenbar mit dem KI-Werkzeug Xint Code aufgespürt. Es handelt sich um einen Logikfehler, der lokalen Nutzern im System ermöglicht, einen deterministischen, kontrollierten 4-Byte-Schreibzugriff auf den Page-Cache jedes lesbaren Dateisystems eines Rechners auszuführen. Mit einem Python-Skript von 732 Byte Größe gelingt es den Forschern, eine Binärdatei mit setuid-Flag zu manipulieren und dadurch root-Rechte zu erlangen (CVE-2026-31431, CVSS 7.8, Risiko „hoch“).

Die IT-Sicherheitsforscher führen weiter aus, dass der Kernel die manipulierte Page nicht als „Dirty“ zum Rückschreiben aufs Laufwerk markiert, sodass die Datei unverändert bleibt und einfache Checksummen-Prüfungen von der Manipulation nichts mitbekommen. Beim tatsächlichen Dateizugriff erfolgt jedoch der Rückgriff auf den Page-Cache. Damit lassen sich zudem Container-Grenzen sprengen, da der Page-Cache auf dem Host geteilt wird. Konkret kündigen die IT-Forscher an, weitere Details zu veröffentlichen, die den Ausbruch aus Kubernetes-Containern erörtern.

Fehler im Krypto-Subsystem

Der Fund sei zwar KI-unterstützt gewesen, basierte aber auf Untersuchungen der Interaktion des Linux-Krypto-Subsystems mit Page-Cache-Daten. Interessierte finden sehr tiefgehende Details im Blog-Beitrag. Dort stellen die Programmierer auch einen Proof-of-Concept-Exploit vor. Das Python-Skript ist 732 Byte groß und verschafft lokalen Angreifern root-Rechte etwa unter Ubuntu 24.04 LTS mit Kernel 6.17.0-1007-aws, Amazon Linux 2023 mit Kernel 6.18.8-9.213.amzn2023, RHEL 10.1 und Kernel 6.12.0-124.45.1.el10_1 sowie SUSE 16 mit Kernel 6.12.0-160000.9-default. Zumindest haben die Entdecker der Schwachstelle diese Kombinationen erfolgreich getestet.

Einen Fix für den Kernel-Quellcode stellen die IT-Forscher ebenfalls bereit. Aktualisierte Kernel sollten inzwischen die größeren Distributionen bereitstellen. Als temporäre Gegenmaßnahme soll demnach aber helfen, AF_ALG-Socket-Erstellung über seccomp zu blockieren oder aber als algif_aead-Modul in die Blacklist aufzunehmen, sodass der Kernel es nicht lädt: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf rmmod algif_aead 2>/dev/null im Terminal erledigt das.

Es ist erst wenige Tage her, da hat die Telekom mittels KI die Schwachstelle „Pack2TheRoot“ im Linux-Kernel aufgespürt. Auch hierbei handelt es sich um eine Rechteausweitungslücke, die sich in mehreren Linux-Distributionen in den Standardkonfigurationen ausnutzen ließ.

(dmk)