Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Neue Linux-Kernel-Exploit-Technik entdeckt

Uni-Forscher aus Österreich haben eine neue Methode zur Ausnutzung des Linux-Kernels entdeckt. Diese als SLUBStick bezeichnete Technik kann eine begrenzte Schwachstelle im Speicherbereich so ausnutzen, dass ein beliebiges Lesen und Schreiben im Speicher möglich wird.

Bedrohungen
Lesezeit 1 Min.

Cybersicherheitsexperten der Technischen Universität Graz haben eine neue Methode zur Ausnutzung des Linux-Kernels entdeckt. SLUBStick nutzt zunächst einen zeitbasierten Seitenkanalangriff auf den Speicher-Allocator, um einen zuverlässigen Cross-Cache-Angriff durchzuführen. Konkret erhöht die Ausnutzung dieser Seitenkanal-Schwachstelle die Erfolgsrate auf über 99 Prozent für häufig genutzte generische Caches.

Speichersicherheitslücken im Linux-Kernel haben normalerweise begrenzte Möglichkeiten und sind aufgrund von Sicherheitsmerkmalen wie Supervisor Mode Access Prevention (SMAP), Kernel Address Space Layout Randomization (KASLR) und Kernel Control Flow Integrity (kCFI) schwer auszunutzen.

Software-basierte Cross-Cache-Angriffe wurden entwickelt, um Sicherheitsstrategien wie grobkörnige Heap-Trennung im Kernel zu umgehen. Studien haben jedoch gezeigt, dass bestehende Methoden nur eine Erfolgsrate von 40 Prozent haben.

SLUBStick wurde an den Linux-Kernel-Versionen 5.19 und 6.2 getestet. Dabei wurden neun Sicherheitslücken ausgenutzt (zum Beispiel Double-Free, Use-After-Free und Out-of-Bounds Write), die zwischen 2021 und 2023 entdeckt wurden. Dies führte zur Privilegieneskalation auf Root-Ebene ohne Authentifizierung und zu Container-Ausbrüchen.

Das Hauptziel dieser Methode ist es, Wege zu eröffnen, um Kernel-Daten zu modifizieren und ein beliebiges Lesen und Schreiben im Speicher zu ermöglichen, um bestehende Schutzmaßnahmen wie KASLR zuverlässig zu überwinden.

Für das Funktionieren dieser Technik muss allerdings eine Heap-Schwachstelle im Linux-Kernel vorliegen und ein nicht privilegierter Benutzer muss die Fähigkeit zur Code-Ausführung haben. „SLUBStick nutzt neuere Systeme, einschließlich der Versionen 5.19 und 6.2, für eine Vielzahl von Heap-Schwachstellen aus“, so die Wissenschaftler.

Diesen Beitrag teilen: