Stackrot: Kernel-Schwachstelle ermöglicht Rechteausweitung unter Linux
Durch eine Sicherheitslücke im Speichermanagement-Subsystem des Linux-Kernels können Angreifer potenziell erweiterte Rechte erlangen.
Der Sicherheitsforscher Ruihan Li hat eine neue Schwachstelle entdeckt, die Auswirkungen auf mehrere Versionen des Linux-Kernels hat. Die als Stackrot bezeichnete Sicherheitslücke mit der Kennung CVE-2023-3269 lässt sich ihm zufolge ausnutzen, um mit "minimalen Fähigkeiten" auf einem Linux-System den Kernel zu kompromittieren und auf Grundlage eines sogenannten Use-After-Free-Bugs erweiterte Rechte zu erlangen.
Wie der Forscher auf Github erklärte, bezieht sich die Lücke auf das Speichermanagement-Subsystem des Linux-Kernels. Ursache ist demnach ein Fehler in der Zuteilung virtueller Speicherbereiche (VMA) durch den sogenannten Maple-Tree, der auf einem RCU-Algorithmus (Read-Copy-Update) basiert. Dieser kann seine in Knoten organisierten Speicherbereiche ohne den ordnungsgemäßen Erwerb einer Schreibsperre ersetzen.
Bevor der alte Knoten tatsächlich gelöscht wird, räumt der RCU-Algorithmus aber eine Art Schonfrist ein. Während dieser Frist können Angreifer auf den zu löschenden Knoten und damit auf den Ausführungskontext derjenigen Anwendung zugreifen, der der jeweilige Speicherbereich zuvor zugewiesen war. Durch dieses Use-After-Free-Problem kann ein böswilliger Akteur seine Privilegien auf dem Linux-System ausweiten.
Ein Fix für Stackrot steht bereit
Stackrot wirkt sich Li zufolge auf fast alle Kernel-Konfigurationen der Linux-Versionen 6.1 bis 6.4 aus. Ältere Kernel sind grundsätzlich nicht betroffen, da der Maple-Tree-Algorithmus erst mit Version 6.1 Einzug in den Linux-Kernel fand.
Der Forscher meldete die Sicherheitslücke bereits am 15. Juni. Die Fehlerbehebung wurde daraufhin vom bekannten Kernel-Entwickler Linus Torvalds geleitet. "Angesichts der Komplexität des Fehlers dauerte es fast zwei Wochen, um eine Reihe von Patches zu entwickeln, die auf Zustimmung stießen", erklärte Li. Effektiv behoben war das Problem erst am 1. Juli mit der Bereitstellung der Kernel-Versionen 6.1.37, 6.3.11 und 6.4.1.
Wie Li betont, ist die Ausnutzung der Schwachstelle eine schwierige Aufgabe. Dass der Forscher Ende Juli die vollständigen technischen Details mitsamt eines Proof-of-Concept-Exploits zu Stackrot veröffentlichen möchte, dürfte potenziellen Angreifern diese Herausforderung jedoch wesentlich erleichtern.
Administratoren wird empfohlen, die jeweilige Kernel-Version ihrer Linux-Systeme zu prüfen und gegebenenfalls auf eine vor der Ausnutzung von CVE-2023-3269 geschützte Version zu aktualisieren.