CopyFail: Kritische Sicherheitslücke bedroht Linux-Systeme

Administratoren weltweit sind in Alarmbereitschaft, da im Kernel von Linux eine gravierende Sicherheitslücke entdeckt wurde, die umgehend mit einem Update behoben werden muss. Die Lücke wird als “CopyFail” bezeichnet und ist auch deshalb so gefährlich, weil die Lücke sehr einfach ausgenutzt werden kann. Sie ermöglicht es Nutzern, die vollständige Kontrolle über ein Linux-System zu erlangen. Schon jetzt ist bekannt, dass es Angriffe gegeben hat.

Derzeit sind sich Sicherheitsexperten einig, dass es sich um eine der gefährlichsten Schwachstellen für Linux-Systeme der letzten Jahre handelt. Potenziell betrifft es jede Distribution, die seit 2017 veröffentlicht wurde. Betroffen sein können sowohl Desktop-PCs als auch Systeme in Fernsehern und Autos. Interessant ist, dass diese Lücke durch KI entdeckt werden konnte. Wichtig ist jetzt, dass Systeme geupdated werden. Mehr zu CopyFail gibt es in diesem Artikel zu erfahren.

CopyFail ist einfach auszunutzen

Die Sicherheitslücke ist aus zwei Gründen als kritisch zu betrachten. Zum einen ermöglicht sie den vollen Zugriff auf ein System. Zum anderen ist die Lücke sehr einfach auszunutzen. Sie geht auf einen Logikfehler im Code des Linux-Kernels zurück. Dieser Fehler ermöglicht einen Schreibzugriff, der zwar nur 4 Byte betrifft, aber Zugriff auf den Page-Cache im Arbeitsspeicher ermöglicht. Dieser Cache speichert Kopien von Daten zwischen, was zu einer Beschleunigung bei langsamen Festplatten führt. So kann ein Programm direkt auf den Cache statt auf die Platte zugreifen. Diese kleine Lücke kann dafür genutzt werden, um eine zwischengespeicherte Systemdatei zu manipulieren.

Aufgrund einer setuid-Flag wird das Programm dann nicht mit den Rechten des Startenden, sondern mit den Rechten des Besitzers der Datei ausgeführt. Auf diesem Weg können Angreifer Zugriff auf Systemdateien enthalten, die die höchsten Rechte im System besitzen. So kann man über den CopyFail uneingeschränkte Kontrolle über ein System erhalten. Es kann Software installiert und Daten können gestohlen werden. Die Manipulation lässt sich aber schwer nachverfolgen, da sie nur im Page-Cache stattfindet und daher kaum Spuren auf der Festplatte hinterlässt. Es besteht prinzipiell eine Gefahr für alle Linux-Systeme, die seit 2017 veröffentlicht wurden. Entsprechend ist es wichtig, dass man sofort alle vorhandenen Systeme aktualisiert, damit der Copy Fail Exploit nicht mehr genutzt werden kann.

Durch KI entdeckt

Interessant an dieser CopyFail Sicherheitslücke ist, dass sie sehr einfach auszunutzen ist, dennoch viele Jahre nicht entdeckt wurde. Dass es jetzt überhaupt dazu kam, ist dem KI-Tool Xint Code zu verdanken. Damit wird unterstrichen, wie wichtig der Einsatz von Künstlicher Intelligenz ist, um automatisiert nach Schwachstellen in komplexen Systemen zu suchen. Dass es sich nicht um eine theoretische Schwachstelle handelt, haben bereits Angriffe gezeigt, über die berichtet wurde. Die US-amerikanische IT-Sicherheitsbehörde CISA warnt bereits von aktiven Missbrauchsversuchen. Für Nutzer bedeutet das, dass sofort Updates eingespielt werden sollten, die es bereits für die meisten Linux-Distributionen gibt.

Fazit zur Sicherheitslücke CopyFail

CopyFail ist eine einfache Schwachstelle, die so einfach zu benutzen ist und doch vollen Zugriff auf ein System ermöglicht. Daher gilt es jetzt, alles zu aktualisieren, was irgendwie mit Linux läuft. Das gilt nicht nur für Desktop-PCs zu Hause, sondern auch für Server, Fernseher und Smartphones. Oft werden Updates automatisch geladen, aber jeder sollte jetzt aktiv werden und selbst nach Updates schauen. Die großen Distributionen wie Ubuntu, Fedora, Debian und SUSE haben bereits Update-Pakete fertig gemacht, die die Systeme wieder sicher machen. Die Gefahr sollte nicht unterschätzt werden, eben weil die Sicherheitslücke so trivial erscheint.