Linux-Sicherheitslücke ermöglicht Angreifern Root-Zugang – Proof-of-Concept veröffentlicht

Die Schwachstelle befindet sich im zuverlässigen Datagram-Sockets (RDS) zerocopy-Send-Pfad. Konkret pinnt die Funktion rds_message_zcopy_from_user() während der Ausführung Benutzerseiten einzeln. Tritt bei einer nachfolgenden Seite ein Page-Fault auf, gibt der Fehlerpfad die bereits gepinnten Seiten frei.

Ein kritisches Schwachstellenpotenzial tritt während der späteren Bereinigung, da diese Seiten ein zweites Mal freigegeben werden, weil die Scatterlist-Einträge und die Eintraganzahl nach dem Aufräumen durch den zcopy-Notifikationsmechanismus weiterhin aktiv bleiben.

Dieser Double-Free-Zustand ermöglicht es jedem fehlgeschlagenen zerocopy-Send-Vorgang, genau eine Referenz stehlen. Um dieses Referenzzähler-Fehler auszunutzen, nutzt der PinTheft-Exploit io_uring. Der Angreifer registriert eine anonyme Seite als festen Puffer und weist der Seite einen FOLL_PIN-Bias von 1024 Referenzen zu.

Sicherheitslage und Risiko

Anschließend stiehlt der Exploit systematisch diese Referenzen durch fehlgeschlagene RDS-zcopy-Send-Vorgänge, bis io_uring auf einen gestohlenen Seitenziger verweist. Diese einzigartige Methodik des Diebstahls von FOLL_PIN-Referenzen verleiht dem Exploit seinen Namen. PinTheft Linux Vulnerability Exploit.

Das PoC-Repository bietet eine hochstrukturierte Exploitationssequenz, um Root-Zugriff zu erlangen, während gleichzeitig ein dauerhafter Systemkorruption verhindert wird.

Die Angriffsausführung folgt einer präzisen Abfolge: Die Zielauswahl identifiziert ein lesbares SUID-Root-Binary und priorisiert ausführbare Dateien wie /usr/bin/su, /usr/bin/mount oder /usr/bin/passwd. Vor der Ausnutzung wird eine Sicherungskopie des Binaries auf dem Datenträger erstellt, um eine manuelle Wiederherstellung zu ermöglichen.

Technik und Auswirkungen

Die Seitenkonfiguration mappiert zwei Seiten und markiert die zweite mit PROT_NONE, sodass ein zweiseitiger RDS zcopy-Send-Befehl zuverlässig einen Fehler auslöst. Die Registrierung eines festen Puffers fixiert die Zielseite mittels IORING_REGISTER_BUFFERS und erhöht die Referenzzahl auf 1024.

Ein Daemon-Kind hält den geklonten festen Puffer offen, um zu verhindern, dass io_buffer_unmap() später freigegebene Seiten beschädigt. Der Referenzdiebstahl erfolgt, wenn der Exploit 1024 fehlgeschlagene RDS zerocopy-Sends ausführt und dabei die erste Seite während der Fehlerbereinigung doppelt freigibt.

Die Freigabe durch den Page-Cache verdrängt die erste Seite des SUID-Binaries und weist sie sofort neu zu, sodass der veraltete Eintrag im io_uring-Festpuffer nun auf eine aktive Seite im Page-Cache zeigt.

Sicherheitslage und Risiko

Ein schwebendes Schreiben in einen festen Puffer verwendet IORING_OP_READ_FIXED, um den Cache mit einer kleinen bösartigen ELF-Payload zu überschreiben und nach der Ausführung einen Root-Zugriff zu gewähren. Obwohl das Exploitations-Primitive architekturunabhängig ist, wurde die im PoC enthaltene ELF-Shell speziell für x86_64-Umgebungen kompiliert.

Die Schwachstelle erfordert eine bestimmte Kernel-Konfiguration, um erfolgreich ausgenutzt zu werden: CONFIG_RDS und CONFIG_RDS_TCP müssen aktiviert sein, CONFIG_IO_URING muss vorhanden sein und io_uring_disabled muss den Wert 0 haben. Das System muss das automatische Laden, um den TCP-Transport anfordern zu können.

Die Standardexposition ist über die meisten großen Distributionen hinweg begrenzt. Laut dem Forschungsteam V12 ist das erforderliche RDS-Kernelmodul nur auf Arch Linux unter den getesteten gängigen Distributionen standardmäßig aktiviert.

Sicherheitslage und Risiko

Zudem warnen die Forscher, dass die Ausführung des Exploits den im Arbeitsspeicher befindlichen Seitencache kritischer SUID-Binaries verändert.

Das Neustarten oder das Löschen, wobei Tester auf Einweg-Maschinen jedoch vorsichtig sein müssen, um sicherzustellen, dass Systeme nicht in einem Zustand verbleiben, in dem gängige Programme die Payload unerwartet ausführen. Administratoren werden dringend empfohlen, die neuesten Kernel-Patches.

Für Systeme, bei denen das Patchen sofort unzumutbar ist oder RDS nicht erforderlich ist, können Administratoren die Bedrohung eindämmen, indem sie die anfälligen Module vollständig blacklisten.

Die Ausführung des folgenden Befehls verhindert,

Die Ausführung des folgenden Befehls verhindert, dass die RDS-Module beim Booten geladen werden: printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf Administratoren sollten zudem umgehend aktive Module auf laufenden Systemen mit rmmod rds_tcp rds entfernen.

Die Veröffentlichung des PinTheft PoC fällt mit einem Anstieg üllungen. Kürzlich haben Sicherheitsforscher PoC-Exploits veröffentlicht, die andere gepatchte Linux-LPEs (Local Privilege Escalation) zielen, die als DirtyDecrypt und DirtyCBC verfolgt werden.

Diese Schwachstellen weisen konzeptionelle hnlichkeiten mit frheren hochprofiligen Root-Eskalationslcken wie Dirty Frag, Fragnesia und Copy Fail auf und verdeutlichen einen anhaltenden Trend, bei dem Angreifer und Forscher komplexe Speicher-Korruptions-Primitiven in Kern-Systemen.