Sieben Jahre alte Schwachstelle im Linux-Kernel entdeckt

Angreifer können sich umfangreichere Rechte an einem betroffenen System verschaffen

[datensicherheit.de, 23.03.2017] Sicherheitsforscher Alexander Popov habe aktuell eine Schwachstelle im „Linux“-Kernel dokumentiert, die bereits seit sieben Jahren in diesem Betriebssystemkern existiere. Wird diese Lücke erfolgreich ausgenutzt, könnten sich lokale Angreifer höhere Rechte an einem betroffenen System verschaffen. Zudem sei es ihnen möglich, den Kernel und damit den jeweiligen Computer zu blockieren.

Nicht ausreichend: Kontrolle des Datenverkehrs am Netzwerkrand

„Es kommt nicht alle Tage vor, dass eine bereits seit sieben Jahren existierende Sicherheitslücke erst jetzt aufgedeckt wird. Daher ist es sinnvoll, an diesem Beispiel aufzuzeigen, warum Anwender, die sich bei der Absicherung lediglich auf Firewalls, Antivirenlösungen und traditionelle ,Intrusion Protection Systeme‘ verlassen, deutlich zu kurz springen“, sagt Oliver Keizers, „Regional Director DACH“ von Fidelis Cybersecurity.
Dieser konkrete Fall mache klar, dass es eben nicht ausreiche, lediglich den Datenverkehr am Netzwerkrand zu überwachen und zu kontrollieren, den internen Netzwerkverkehr aber außer Acht zu lassen. Denn versierte Angreifer, die in der Lage seien, in einem verwundbaren System einen Brückenkopf zu bilden, könnten diese Präsenz dann nutzen, um sich unentdeckt im internen Netz auszubreiten.

Im Netz verdächtige Aktivitäten erfassen und analysieren!

Die Wahrscheinlichkeit sei nicht gering, dass versierte Cyber-Kriminelle in den letzten sieben Jahren die erst jetzt dokumentierte Schwachstelle bereits entdeckt hätten. In diesem Fall könne es zu einer ersten Kompromittierung gekommen sein, die quasi kaum zu verhindern gewesen wäre.
Von entsprechend großer Bedeutung sei es, im Netz selbst verdächtige Aktivitäten, die von Angreifern stammen könnten, zu erfassen und zu analysieren. Denn nur dann lasse sich einem Datenabfluss zum frühestmöglichen Zeitpunkt ein Riegel vorschieben, um Folgeschäden zu vermeiden.

Foto: FINNPARTNERS

Oliver Keizers: Noch große Zahl nicht gepatchter Systeme mit angreifbarem „Linux“-Kernel

In Betriebssystemkernen definitiv noch weitere, bislang nicht bekannte Lücken

Vergleichbar sei die Situation mit einem Einbruch in ein Gebäude. „Hat der Dieb eine ungesicherte Tür gefunden, die äußeren Sicherheitssysteme umgangen und kann sich nun im Haus frei bewegen, ist der größtmögliche Schaden fast schon gewährleistet. Nur, wenn auch in Räumlichkeiten weitere Systeme aktiv sind, die ein unerlaubtes Eindringen erkennen und entsprechende Maßnahmen initiieren, lassen sich die negativen Folgen des Einbruchs minimieren.“
Auch wenn mittlerweile ein Patch vorhanden sei, könne man davon ausgehen, dass noch eine große Zahl nicht gepatchter Systeme mit angreifbarem „Linux“-Kernel weltweit ihre Dienste verrichteten. Zudem lauerten in den Betriebssystemkernen – einerlei, ob es sich um Systeme unter „Linux“, „Windows“, „Solaris“ oder einem anderen OS handelt – definitiv noch weitere, bislang noch nicht allgemein bekanntgewordene Lücken. „Der Einbrecher ist also vielleicht schon drin“, warnt Keizers.

Weitere Informationen zum Thema:

Openwall, 07.03.2017
Linux kernel: CVE-2017-2636: local privilege escalation flaw in n_hdlc

datensicherheit.de, 28.01.2015
Qualys warnt vor Schwachstelle „GHOST“ in Linux-Systemen

datensicherheit.de, 24.05.2013
LinuxTag 2013: Kompetenznetzwerk, Spiele-Entwickler und verteiltes Rechnen