Microsoft und die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) haben kürzlich eine Warnung vor einer neuen Sicherheitslücke im Linux-Kernel herausgegeben und erklärt, dass das Problem eine große Anzahl von Mainstream-Distributionen betreffen könnte, darunter Ubuntu, Red Hat, SUSE, Debian, Fedora, Arch Linux und Amazon (AWS) Linux, und dass die Anzahl der betroffenen Geräte Millionen betragen könnte.
Die Schwachstelle hat die Nummer CVE-2026-31431 und einen CVSS-Score von 7,8. Es ist im Verzeichnis „Known Exploited Vulnerabilities“ von CISA aufgeführt, das es als häufigen Angriffsvektor für böswillige Angreifer ansieht und ein erhebliches Risiko für Bundesbehörden und die gesamte Unternehmensumgebung darstellt.
CISA wies in dem Advisory darauf hin, dass es sich um eine Schwachstelle handele, bei der „der Linux-Kernel fälschlicherweise Ressourcen zwischen verschiedenen Sicherheitsdomänen überträgt“. Wenn es ausgenutzt wird, kann es dazu führen, dass lokale Berechtigungen auf die Root-Ebene erhöht werden. Diese Art der lokalen Eskalation von Privilegien ist besonders gefährlich in stark containerisierten und mandantenfähigen Arbeitslastumgebungen, die auf diesen Verteilungen basieren, da, sobald ein Angreifer ersten Zugriff auf das System erhält, die Möglichkeit besteht, die Isolation weiter zu durchbrechen und die Kontrolle über den gesamten Knoten zu übernehmen.
Red Hat hat letzten Monat eine Sicherheitswarnung herausgegeben, um eine detailliertere technische Erläuterung dieses Problems zu geben. Der Ankündigung zufolge taucht die Schwachstelle in der Schnittstelle des Verschlüsselungsalgorithmus algif_aead im Linux-Kernel auf. Aufgrund der Einführung einer falschen „In-Place-Operation“-Implementierung ist die Speicherzuordnung der Quelldaten und der Zieldaten inkonsistent. Infolgedessen kann es während des Verschlüsselungsvorgangs zu unerwartetem Verhalten oder Problemen mit der Datenintegrität kommen, wodurch die Zuverlässigkeit der verschlüsselten Kommunikation beeinträchtigt wird.
Microsoft-Sicherheitsforscher gingen dem Logikfehler im Kernel-Verschlüsselungssubsystem weiter nach und wiesen darauf hin, dass sich das Problem auf eine Optimierung des algif_aead-Moduls unter dem 2017 eingeführten AF_ALG-Framework konzentrierte. „In-Place-Optimierungen“ führten damals dazu, dass der Kernel bei der Ausführung bestimmter kryptografischer Operationen fälschlicherweise den Quellspeicher als Zielpuffer wiederverwendete. Ein Angreifer kann die Interaktion zwischen der AF_ALG-Socket-Schnittstelle und dem Systemaufruf splice() ausnutzen, um einen kontrollierten 4-Byte-Schreibvorgang in den Kernel-Seitencache zu erreichen und so gezielt kritische Datenstrukturen zu manipulieren.
Forscher sagten, dass dieser Angriffsprozess über ein Python-Skript implementiert und für Binärdateien mit hohen Berechtigungen wie /usr/bin/su modifiziert werden kann, sodass er bei der Ausführung direkt mit Root-Rechten ausgeführt werden kann. Im Gegensatz zu vielen Kernel-Exploits, die auf Race-Bedingungen basieren, ist die Ausnutzung dieser Schwachstelle nicht auf Timing-Race-Bedingungen angewiesen, sondern kann durch ein kleines Skript von etwa 732 Bytes auf deterministische Weise stabil reproduziert werden. Diese Sicherheitslücke gilt als „äußerst zuverlässiges“ Mittel zur Rechteausweitung, da sie mit wenigen Änderungen auf einer Vielzahl wichtiger Distributionen erfolgreich ausgenutzt werden kann.
In einer Cloud-Computing-Umgebung werden die mit dieser Funktion verbundenen Risiken noch größer. Viele Container nutzen denselben Host-Kernel. Sobald diese Schwachstelle in der zugrunde liegenden Kernel-Version besteht, kann sich ein Verstoß gegen einen einzelnen Container auf den gesamten Knoten ausweiten und vollständig übernommen werden. Microsoft warnt davor, dass selbst wenn ein Angreifer zunächst nur eingeschränkten Zugriff hat, etwa wenn er sich als Benutzer mit geringen Rechten über SSH anmeldet oder sich Ausführungsmöglichkeiten in einer CI/CD-Pipeline verschafft, diese Schwachstelle ausreichen könnte, um sich auf Root-Rechte auszuweiten, Containergrenzen zu durchbrechen, laterale Bewegungen zu ermöglichen und andere Arbeitslasten in einer Umgebung mit mehreren Mandanten zu infizieren.
Derzeit befinden sich die öffentlich beobachteten Nutzungsaktivitäten hauptsächlich im Proof-of-Concept-Stadium (PoC) und wurden nicht als Waffe eingesetzt und in großem Umfang verbreitet. Dennoch hat Microsoft Erkennungssignaturen über Microsoft Defender XDR veröffentlicht, um Organisationen aller Art dabei zu helfen, potenzielle Ausnutzungsversuche und kompromittierte Systeme zu erkennen. Microsoft fordert das Sicherheitsteam außerdem dringend auf, Kernel-Updates so schnell wie möglich abzuschließen, nachdem jede Veröffentlichung entsprechende Patches bereitstellt, um Risiken grundsätzlich zu beseitigen.
Bis ein Patch vollständig installiert ist, empfiehlt Microsoft, eine Reihe von Abhilfemaßnahmen zu ergreifen, einschließlich der vorübergehenden Deaktivierung betroffener kryptografischer Funktionen oder der Verhinderung der Erstellung von AF_ALG-Sockets, um die Angriffsfläche zu verringern. Darüber hinaus sollten die Zugriffskontrollrichtlinien gestärkt werden, um den Umfang der Konten zu begrenzen, die beliebigen Code auf dem System ausführen können, und die Netzwerkisolation sollte genutzt werden, um die Möglichkeit einer lateralen Ausbreitung in der internen Umgebung nach einem einzigen Kompromittierungspunkt zu verringern. Bei Knoten mit verdächtigen Anzeichen sind eine schnelle Wiederherstellung und Rekonstruktion in Verbindung mit Protokollprüfung und Verhaltenserkennung ebenfalls wichtige Mittel zur Reduzierung langfristiger Risiken.
