PoC-Exploit veröffentlicht: Linux-Kernel-Schwachstelle ermöglicht Gast-zu-Wirt-Escape

Sie betrifft die im Kernel implementierte KVM-Lösung (Kernel-based Virtual Machine), jedoch nicht die benutzerraumseitigen Komponenten wie QEMU. Dies verschärft die Lage erheblich, da eine erfolgreiche Ausnutzung direkt zum Kompromittieren des Host-Kernels führt, anstatt lediglich einen eingegrenzten Benutzerprozess zu beeinträchtigen.

Ursache für die Schwachstelle ist ein Race Condition (Laufbedingung) bei der Emulation des vGIC-ITS (Virtual Generic Interrupt Controller Interrupt Translation Service) innerhalb ARM64-Systemen. Durch das Auslösen spezifischer unterbrechungsbezogener Operationen aus der Gast-VM heraus kann ein Angreifer eine sogenannte „double-put"-Bedingung ausnutzen.

Dies führt zu einer Speicher-Korruption, die anschließend genutzt wird, um beliebigen Code im Kontext des Host-Kernels auszuführen. Der veröffentlichte PoC demonstriert, wie die Schwachstelle vollständig aus der Gast-VM initiiert werden kann, ohne dass jegliche Interaktion vom Host-System erforderlich ist.

Sicherheitslage und Risiko

Im Testaufbau nutzt der Exploit KVM-Selbsttests und läuft in einer QEMU TCG-Umgebung, um einen ARM64-Host nachzubilden. Der Gast-Code führt maßgeschneiderte GIC/ITS-MMIO-Befehle aus, die eine Fehlerstelle in der Interrupt-Verarbeitungslogik ösen und letztlich zur Codeausführung auf Host-Ebene führen.

Als Indikator für eine erfolgreiche Ausnutzung wird die Erstellung einer Datei mit dem Namen „/ITScape" auf dem Host-System mit Root-Besitzrechten herangezogen. Obwohl der PoC noch nicht vollständig für reale Angriffe aufbereitet ist, demonstriert er zuverlässig die gesamte Exploit-Kette.

Der Forscher Hyunwoo Kim hat auf GitHub angemerkt, dass Angreifer, die mit Cloud-Infrastrukturen vertraut sind, die Technik anpassen könnten. Durch die Optimierung, Timing-Bedingungen und kernel-spezifischen Parameter könnte eine Ausnutzung in der realen Welt machbar werden.

Sicherheitslage und Risiko

Betroffen sind Linux-Kernel-Versionen vom April 2024 (Commit 8201d1028caa) bis Anfang Juni 2026. Der Patch zur Behebung der Lücke wurde im Commit 13031fb6b835 eingeführt. Systeme, die diese Versionen in ARM64-KVM-Umgebungen ausführen, sind anfällig. Dies betrifft insbesondere Umgebungen, die nicht vertrauenswürdige oder mehrtenantige Workloads hosten.

Das Problem ist besonders besorgniserregend für öffentliche Cloud-Anbieter, die ARM64-Infrastrukturen nutzen. In solchen Szenarien haben Benutzer in der Regel Root-Zugriff auf ihre eigenen virtuellen Maschinen.

Eine Ausnutzung könnte einem Angreifer ermöglichen, seine virtuelle Maschine zu verlassen, die Kontrolle über den Host zu erlangen und potenziell andere Tenants oder Workloads auf demselben System zu kompromittieren.

Sicherheitslage und Risiko

Wichtig ist, dass die Schwachstelle x86-Systeme nicht betrifft, da sie spezifisch für das ARM64-KVM-Subsystem im Virtualisierungscode des Linux-Kernels ist. Sicherheitsteams werden dringend aufgefordert, den verfügbaren Patch unverzüglich anzuwenden und zu überprüfen, ob ihre Systeme keine anfälligen Kernel-Versionen mehr ausführen.

Zusätzliche Vorsichtsmaßnahmen umfassen die Überwachung öhnlichem VM-Verhalten, die Einschränkung der Exposition gegenüber nicht vertrauenswürdigen Gästen und die Wachsamkeit gegenüber weiteren Forschungsarbeiten zu ähnlichen KVM-Escape-Techniken.

Die Veröffentlichung eines funktionierenden PoC erhöht das Ausnutzungsrisiko erheblich, wodurch rechtzeitiges Patchen und proaktive Überwachung für betroffene Umgebungen unerlässlich sind.

Sicherheitslage und Risiko

SvyTech-Einordnung Die Veröffentlichung eines funktionierenden PoC für eine Gast-zu-Wirt-Escape-Lücke im ARM64-Kernel unterstreicht die Dringlichkeit, spezifische Virtualisierungsfehler im Linux-Kernel zu patchen. Die Schwachstelle betrifft nicht nur einzelne Server, sondern potenziell die gesamte Infrastruktur, die auf ARM64-Technologie setzen.

Die Tatsache, dass der Exploit keine Interaktion vom Host benötigt, macht ihn besonders gefährlich für Multi-Tenant-Umgebungen. Was Leser daraus mitnehmen Administratoren April 2024 und Juni 2026 sollten sofort nach dem verfügbaren Patch suchen und diese installieren.

Da die Lücke spezifisch für ARM64 ist, müssen x86-Betreiber keine direkten Maßnahmen ergreifen, sollten aber ihre Patch-Strategien überprüfen. Zudem ist eine erhöhte Wachsamkeit bei der Überwachung, da Angreifer die Technik bald für reale Angriffe in der Cloud nutzen könnten.