PinTheft: Neue Linux-Lücke ermöglicht Root-Zugriff

Die als PinTheft bezeichnete Schwachstelle erlaubt es lokalen Angreifern, durch eine raffinierte Kombination von Netzwerkprotokollen und modernen E/A-Schnittstellen vollständige Root-Rechte zu erlangen. Ein öffentlicher Proof-of-Concept-Exploit wurde bereits veröffentlicht.

Warum 85% der Top-Supercomputer auf Linux setzen (und was das für Sie bedeutet): Entdecken Sie im kostenlosen Startpaket, wie Sie die Vorteile von Ubuntu sofort testen. Kostenloses Linux-Startpaket mit Ubuntu-Vollversion sichern

Der Angriff nutzt einen sogenannten Double-Free-Speicherfehler im Reliable Datagram Sockets (RDS)-Protokoll. In Kombination mit der asynchronen E/A-Schnittstelle io_uring können Angreifer Sicherheitsbarrieren umgehen und kritische Systemspeicherbereiche überschreiben. Der Linux-Kernel-Entwickler Aaron Esau vom Sicherheitsteam V12 entdeckte die Lücke und warnte vor der zunehmenden Raffinesse solcher Exploit-Techniken.

So funktioniert der Angriff

Die Schwachstelle liegt in der Fehlerbehandlung des RDS-Protokolls. Normalerweise „pinnt“ der Kernel Speicherseiten, wenn Daten übertragen werden. Tritt dabei ein Seitenfehler auf, sollen die bereits gepinnten Seiten wieder freigegeben werden. PinTheft nutzt jedoch einen Logikfehler: Die Bereinigungsroutine gibt dieselben Seiten ein zweites Mal frei, was zu einer Diskrepanz in der Referenzzählung führt.

Der Exploit registriert eine Speicherseite als festen Puffer bei io_uring und weist ihr 1024 Referenzen zu. Durch gezielt fehlschlagende RDS-Sendungen werden diese Referenzen abgebaut, bis das System die Seite für frei hält – obwohl io_uring noch einen Zeiger darauf besitzt. Dieser „gestohlene“ Zeiger überschreibt dann den Page-Cache kritischer Systemprogramme.

Besonders betroffen sind SUID-Root-Binärdateien wie /usr/bin/su, /usr/bin/mount und /usr/bin/passwd. Der Angriff schleust Schadcode direkt in den Cache dieser Programme. Führt ein Nutzer sie aus, wird der manipulierte Code ausgeführt – der Angreifer erhält sofort eine Root-Shell.

Welche Systeme sind betroffen?

Die tatsächliche Gefahr hängt stark von der Distribution ab. Während die meisten Enterprise-Distributionen das RDS-Modul nicht standardmäßig aktivieren, ist Arch Linux eine Ausnahme und damit das Hauptziel des aktuellen Exploits. Auf x86_64-Systemen mit aktiviertem io_uring ist die architekturunabhängige Technik besonders wirkungsvoll.

Ein Sicherheitspatch wurde bereits in den Linux-Kernel eingepflegt. Administratoren sollten umgehend aktualisieren. Wer nicht sofort neu starten kann, sollte die Module rds und rds_tcp mit dem Befehl rmmod entfernen. Experten warnen jedoch, dass Systeme mit aktiviertem automatischen Modulladen weiterhin gefährdet sein können, solange die Module auf der Festplatte existieren.

Genervt von Windows-Fehlermeldungen und Zwangs-Updates? Das kostenlose Linux-Startpaket zeigt Schritt für Schritt, wie Sie Ubuntu parallel zu Windows installieren – ohne Risiko und ohne Datenverlust. Jetzt Linux-Startpaket gratis anfordern

Trend zu komplexeren Kernel-Exploits

PinTheft reiht sich in eine wachsende Liste von Page-Cache-Überschreibungs-Lücken ein, darunter DirtyDecrypt, DirtyCBC und Fragnesia. Diese Exploits nutzen seit Jahren existierende Speicherverwaltungsmechanismen, die erst durch moderne APIs wie io_uring angreifbar werden.

Die Flut solcher Meldungen belastet die Kernel-Entwickler zunehmend. Erst Anfang der Woche äußerte sich Linus Torvalds frustriert über die wachsende Zahl von Bug-Reports, von denen viele durch automatisierte KI-Tools generiert werden. Viele dieser Meldungen seien redundant oder beträfen bereits behobene Probleme.

Ausblick: Architektonische Änderungen gefordert

Die Sicherheitsgemeinschaft diskutiert derzeit mehrere architektonische Änderungen, um diese Klasse von Schwachstellen grundlegend zu entschärfen. Kernel-Entwickler Sasha Levin schlug einen Notfall-Killswitch vor, der es Administratoren erlauben würde, bestimmte anfällige Kernel-Funktionen vorübergehend zu deaktivieren – ohne Neustart oder Modulentfernung.

Langfristig bleibt jedoch die gründliche Überprüfung der Kernel-Subsysteme die einzige nachhaltige Lösung. Solange Forscher immer raffiniertere Methoden entwickeln, um Speicherreferenzen zu „stehen“ und Page-Caches zu manipulieren, wird die Sicherheit des Linux-Ökosystems zunehmend von der Geschwindigkeit abhängen, mit der Maintainer komplexe Sicherheitsberichte verarbeiten und bestätigen können.

de | wissenschaft | 69385518 |