Pwnkit: Triviale Linux-Lücke ermöglicht Root-Rechte

Zum Ausnutzen der Sicherheitslücke in Polkit muss der Dienst nur installiert sein. Das betrifft auch Serversysteme. Exploits dürften schnell genutzt werden.

Artikel veröffentlicht am ,
Der Linux-Dienst Polkit enthält eine schwerwiegende und trivial ausnutzbare Sicherheitslücke.
Der Linux-Dienst Polkit enthält eine schwerwiegende und trivial ausnutzbare Sicherheitslücke. (Bild: Pixabay)

Sicherheitsforscher von Qualys haben in dem sehr weit verbreiteten Linux-Dienst Polkit (früher Policykit) eine Sicherheitslücke entdeckt (CVE-2021-4034), die vergleichsweise trivial ist und sich deshalb leicht ausnutzen lassen dürfte, um Root-Rechte zu erlangen.

Stellenmarkt
  1. IT-Security Manager (w/m/d)
    Dataport, verschiedene Standorte
  2. Fullstack Entwickler (m/w/d)
    Pfalzwerke Aktiengesellschaft, Ludwigshafen
Detailsuche

Der Code zum Ausnutzen der Lücke ist zwar noch nicht öffentlich verfügbar, wohl aber relativ leicht selbst zu erstellen und sei zu 100 Prozent zuverlässig, wie ein anderer Forscher schreibt. Mit Versuchen, die Lücke auszunutzen, dürfte also bald zu rechnen sein. Dazu muss das System aber bereits vorher über eine weitere Lücke kompromittiert worden sein oder der Angreifer muss einen Nutzeraccount auf dem System haben. Ein Angriff aus der Ferne ist nicht möglich.

Die Forscher nennen die Lücke Pwnkit und als Voraussetzung zum Ausnutzen reicht es laut den Ausführungen aus, dass die Software lediglich installiert ist, der Polkit-Daemon muss dafür nicht aktiv benutzt werden. Neben den meisten Linux-Desktop-Distributionen betrifft das auch Servervarianten. Golem.de konnte dies etwa für ein aktuelles Ubuntu-Server-System bestätigen, auf einem Debian-Server wiederum nicht. Bei Neuinstallationen von Debian wird die Software jedoch mitgeliefert und das System ist verwundbar. Auch die Serversysteme von Suse und Red Hat sind betroffen.

Triviale Lücke theoretisch schon länger bekannt

Konkret steckt die Sicherheitslücke in der Binärdatei pkexec, und zwar bereits seit dem Jahr 2009. Grundlage des Fehlers sind demnach typische Fehler der Programmiersprache C sowie gewisse Eigenheiten des Linux-Kernels selbst. Ausgenutzt werden kann die Lücke demnach, indem es gelingt, pkexec mit einer leeren Anzahl von Argumenten (argc ist 0) aufzurufen. Das wiederum führt dazu, dass argv[0] gleich NULL ist. Letztlich führt dies zu einem Out-of-Bounds-Schreibzugriff, der dazu genutzt werden kann, Umgebungsvariablen zu überschreiben.

Golem Karrierewelt
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
  2. Microsoft Azure Administration: virtueller Zwei-Tage-Workshop
    22./23.08.2022, virtuell
Weitere IT-Trainings

Besonders gravierend an der Lücke ist, dass solch ein mögliches Angriffsszenario seit langem bekannt ist. So beschrieb der Entwickler und Sicherheitsforscher Ryan Mallon in seinem Blog dieses problematische Verhalten von argv[0] bereits im Jahr 2013. Mallon gelang es damals aber nicht, eine Binärdatei zu finden, die sich für einen erfolgreichen Angriff geeignet hätte.

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Darüber hinaus schreiben die Forscher von Qualys aber auch, dass ein Ausnutzen der Lücke unter OpenBSD nicht möglich ist. Der einfache Grund dafür ist, dass die OpenBSD-Kernel-Funktion execve() Programme im Falle argc gleich 0 schlicht nicht ausführt. Dies wurde wohl aus Sicherheitserwägungen so umgesetzt. Unter Linux werden die Programme in solch einem Fall aber ausgeführt, was die Lücke letztlich ausnutzbar macht.

Entdeckt hat Qualys die Lücke eigenen Angaben zufolge bereits im vergangenen November, vor zwei Wochen seien zudem die Linux-Distributionen über die Lücke informiert worden. Diese stellen inzwischen Patches und Updates bereit, die die Lücke schließen. Auch im Polkit-Code selbst ist der Patch inzwischen öffentlich einsehbar. Das umfasst jedoch nur das Verhalten in pkexec.

Ob das Verhalten des Linux-Kernels darüber hinaus dem von OpenBSD angepasst wird, ist derzeit noch nicht bekannt. Einen Patch hierfür hat zumindest Ariadne Conill eingereicht, die das Sicherheitsteam der Linux-Distribution Alpine leitet. Demnach wurde die Änderung bereits 2008 erstmals diskutiert. Hier muss aber noch geklärt werden, ob Linux-Anwendungen auf das bisherige Verhalten angewiesen sind. Denn eine Änderung würde dann das Userspace-API des Linux-Kernels verändern, was allgemein nicht umgesetzt werden darf.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


M.P. 28. Jan 2022

Verstehe Dein "Nöö" nicht: Was sind Backports anderes als...

Sybok 27. Jan 2022

Ganz einfach: Hier wurde ja offenbar *nicht* geprüft, ob denn überhaupt zwei Elemente...

Kilpikonna 27. Jan 2022

..., dass die Lücke bis zum zweiten Dienstag nächsten Monats auf ist, weil das zufällig...

Cybso 27. Jan 2022

Ganz böse ausgedrückt: sudo mit XML und Javascript.



Aktuell auf der Startseite von Golem.de
Cloud Cam
Amazon macht eigene Überwachungskamera unbrauchbar

Eine fünf Jahre alte Überwachungskamera wird noch dieses Jahr von Amazon außer Betrieb genommen. Kunden erhalten Ersatz, der vielen aber nichts nützt.

Cloud Cam: Amazon macht eigene Überwachungskamera unbrauchbar
Artikel
  1. 30 Jahre Alone in the Dark: Als der Horror filmreif wurde
    30 Jahre Alone in the Dark
    Als der Horror filmreif wurde

    Alone in the Dark feiert Geburtstag. Das Horrorspiel war ein Meilenstein bei der filmreifen Inszenierung von Games. Wie spielt es sich heute?
    Von Andreas Altenheimer

  2. Deutsche Telekom: Spezieller Smartphone-Tarif für Flüchtlinge aus der Ukraine
    Deutsche Telekom
    Spezieller Smartphone-Tarif für Flüchtlinge aus der Ukraine

    Wenn Flüchtlinge aus der Ukraine eine kostenlose SIM-Karte der Deutschen Telekom nutzen, können sie bald in den neuen Tarif wechseln.

  3. Update-Installation dauert: Störungen bei Kartenzahlungen im Einzelhandel bleiben
    Update-Installation dauert
    Störungen bei Kartenzahlungen im Einzelhandel bleiben

    Es gibt ein Update, um die Zahlungsstörungen mit Giro- oder Kreditkarte zu beseitigen. Die Verteilung des Updates braucht aber noch Zeit.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (ASUS VG30VQL1A QHD/200 Hz 329€ statt 399,90€ im Vergleich) • Apple iPhone 12 128 GB 669€ statt 699€ im Vergleich• Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. MSI MPG X570 Gaming Plus 119€ statt 158,90€ im Vergleich) [Werbung]
    •  /