Copy-Fail-Lücke: US-Behörden müssen Linux-Kernel bis Mitternacht patchen

Eine kritische Sicherheitslücke im Linux-Kernel zwingt US-Bundesbehörden zum Handeln. Ein 732 Byte kurzes Skript reicht aus, um vollständige Kontrolle über betroffene Systeme zu erlangen.

Die als „Copy Fail" (CVE-2026-31431) bekannte Schwachstelle wurde Anfang Mai von der US-Cybersicherheitsbehörde CISA in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Grund waren bestätigte Berichte über aktive Angriffe. Für alle Bundesbehörden der zivilen Exekutive endet heute um Mitternacht die Frist zur Behebung – vorgegeben durch die bindende operative Direktive BOD 22-01.

Doch die Bedrohung reicht weit über den öffentlichen Sektor hinaus. Analysten sehen in der Deadline einen kritischen Maßstab für die gesamte Privatwirtschaft. Millionen von Cloud-Workloads und Kubernetes-Clustern sind potenziell gefährdet.

Trotz aktueller Sicherheitsdebatten bleibt Open Source die Basis moderner IT-Infrastrukturen – wenn man weiß, wie man sie richtig konfiguriert. Dieses kostenlose Startpaket zeigt Ihnen Schritt für Schritt, wie Sie Linux sicher parallel zu Windows installieren und ohne Risiko testen. Linux Startpaket inklusive Ubuntu Vollversion jetzt gratis sichern

Ein neun Jahre alter Logikfehler

Die „Copy Fail"-Lücke ist eine lokale Rechteausweitung mit einem CVSS-Score von 7,8. Forscher von Theori, Xint und Microsoft Defender haben ihren Ursprung auf Code-Änderungen zwischen 2011 und 2017 zurückverfolgt. Die einzelnen Modifikationen wirkten harmlos – ihr Zusammenspiel jedoch erzeugte einen fatalen Logikfehler im algif_aead-Modul des kryptografischen Subsystems (AF_ALG) des Linux-Kernels.

Die Schwachstelle erlaubt es einem unprivilegierten lokalen Nutzer, während kryptografischer Operationen eine kontrollierte Überschreibung von vier Byte im Kernel-Page-Cache auszulösen. Das reicht aus, um sensible Systemdateien wie setuid-root-Binaries zu manipulieren und sich Root-Zugriff zu verschaffen.

Besonders alarmierend ist die Zuverlässigkeit des Exploits: Ein Python-Skript von nur 732 Byte Länge – kürzer als eine durchschnittliche E-Mail – verschafft mit 100-prozentiger Erfolgsquote Root-Rechte auf nahezu jeder Linux-Distribution seit 2017. Betroffen sind unter anderem Ubuntu 24.04 LTS, Amazon Linux 2023, Red Hat Enterprise Linux 10.1 und SUSE 16.

Massive Bedrohung für Cloud und Container

Die wahre Sprengkraft der Lücke liegt in ihrer Reichweite. Da der Fehler im Userspace-Crypto-API des Kernels sitzt, lässt er sich aus Container-Umgebungen heraus ausnutzen. Angreifer können so die Container-Grenzen durchbrechen und den gesamten Host übernehmen.

Microsoft hat angekündigt, die Schwachstelle im Windows Subsystem for Linux 2 (WSL2) mit den Mai-2026-Patch-Tuesday-Updates zu schließen. Die großen Distributionen Debian, Ubuntu und SUSE haben bereits Notfall-Patches veröffentlicht. Der dauerhafte Fix besteht im Kernel-Commit a664bf3d603d, der die fehlerhafte Optimierung rückgängig macht.

Während Microsoft Sicherheitslücken in Subsystemen wie WSL2 schließt, sollten Anwender auch ihr Hauptsystem für den Wechsel auf das aktuelle Betriebssystem vorbereiten. Der kostenlose Report zum Windows 11 Komplettpaket liefert Ihnen einen Schritt-für-Schritt-Plan für eine stressfreie Installation ohne Datenverlust. Gratis-Report: Windows 11 Installation und Datenübernahme leicht gemacht

Notfall-Maßnahmen und Compliance

Für Systeme, die nicht sofort neugestartet werden können, empfehlen CISA und Sicherheitsanbieter temporäre Umgehungen:

• Blacklisten des algif_aead-Kernel-Moduls – die meisten Anwendungen fallen dann automatisch auf Standard-Bibliotheken zurück
• Seccomp-Profile in Container-Umgebungen, um die Erstellung von AF_ALG-Sockets zu blockieren

CISA betont jedoch: Diese Maßnahmen sind nur Übergangslösungen. Bundesbehörden müssen bis Mitternacht entweder den Patch einspielen oder den Betrieb der betroffenen Systeme einstellen.

Die Dringlichkeit wird durch die aktuelle Bedrohungslage unterstrichen. Erst am vergangenen Montag liefen die Fristen für zwei weitere kritische Lücken ab – eine ConnectWise-ScreenConnect-Schwachstelle (CVE-2024-1708) und eine Microsoft-Windows-Shell-Lücke (CVE-2026-32202).

Beschleunigte Patch-Zyklen in der Diskussion

Der „Copy Fail"-Vorfall hat eine Debatte über die Geschwindigkeit der Schwachstellenbehebung neu entfacht. Internen Berichten zufolge diskutiert die CISA-Führung um Interimsdirektor Nick Anderson und den nationalen Cyberdirektor Sean Cairncross über eine drastische Verkürzung der Fristen.

Vorgeschlagen wird eine Reduzierung der standardmäßigen Zwei-Wochen-Frist auf nur drei Tage für besonders kritische Lücken. Hintergrund ist die zunehmende Verbreitung KI-gestützter Exploit-Tools. Während die durchschnittliche Zeit bis zur Ausnutzung einer Schwachstelle 2025 noch bei rund 44 Tagen lag, werden einige kritische Bugs heute innerhalb von 36 Stunden nach Bekanntwerden angegriffen.

Kritiker warnen jedoch: Viele Organisationen seien nicht in der Lage, Patches in diesem Tempo zu validieren und auszurollen, ohne erhebliche Betriebsstörungen zu riskieren. Ein Drei-Tage-Mandat würde einen grundlegenden Wandel in der Asset-Verwaltung und automatisierten Tests erfordern.

Ausblick: Lehren aus einem Jahrzehnt der Verwundbarkeit

Dass eine kritische Lücke fast zehn Jahre unentdeckt im Linux-Kernel schlummern konnte, hat Forderungen nach mehr Finanzierung und automatisierter Prüfung von Open-Source-Komponenten laut werden lassen.

Für die kommenden Wochen bleiben die Sicherheitszentren in höchster Alarmbereitschaft. Auch wenn die Bundesbehörden die Frist einhalten – die weite Verbreitung des 732-Byte-Exploits macht ungepatchte Systeme in der Privatwirtschaft und bei kleineren Kommunen zu bevorzugten Zielen. Analysten erwarten, dass der „Copy Fail"-Vorfall als Hauptargument für die nächste Generation bindender Direktiven dienen wird – mit dem Ziel, Echtzeit-Automatisierung über manuelle Patch-Zyklen zu stellen.

de | wirtschaft | 69339385 |