Zum Inhalt springen

Exploit für PinTheft-Sicherheitslücke in Arch Linux veröffentlicht

Auf den Punkt: Der PinTheft-Exploit für eine Linux-Privilege-Escalation ist nun öffentlich verfügbar. Die Schwachstelle betrifft hauptsächlich Arch Linux, da das erforderliche RDS-Modul dort standardmäßig aktiviert ist. Nutzer sollten sofort Kernel-Updates installieren oder das RDS-Modul deaktivieren.

Ein kürzlich behobenes Linux-Privilege-Escalation-Exploit namens PinTheft steht nun öffentlich zur Verfügung. Das V12-Sicherheitsteam hat einen funktionierenden Exploit-Code veröffentlicht, mit dem lokale Angreifer auf betroffenen Arch-Linux-Systemen Root-Rechte erlangen können.

Die Sicherheitslücke PinTheft existiert im Linux-Kernel in der RDS-Implementierung (Reliable Datagram Sockets) und wurde bereits früher diesen Monat gepatcht. Laut V12 handelt es sich um einen Double-Free-Fehler im RDS-Zerocopy-Pfad, der sich in einen Page-Cache-Overwrite mittels io_uring-Fixed-Buffer verwandeln lässt.

Das Team erklärte: Die Schwachstelle entstand, weil rds_message_zcopy_from_user() Benutzer-Seiten einzeln pinnt. Falls eine spätere Seite fehlschlägt, verwirft der Fehler-Pfad bereits gepinnte Seiten und die RDS-Nachricht-Bereinigung verwirft sie erneut. Jeder fehlgeschlagene Zerocopy-Send kann eine Referenz von der ersten Seite stehlen.

Der veröffentlichte Exploit nutzt diese Referenzen, bis io_uring einen gestohlenen Seiten-Pointer hält und damit Root-Zugriff ermöglicht. Allerdings erfordert PinTheft spezifische Bedingungen: das RDS-Modul muss geladen sein, io_uring aktiviert, ein lesbares SUID-Root-Binary vorhanden und x86_64-Unterstützung erforderlich.

Dies begrenzt die Angriffsfläche erheblich. Das RDS-Kernel-Modul ist standardmäßig nur auf Arch Linux aktiviert – nicht bei anderen gängigen Distributionen. Linux-Nutzer sollten sofort verfügbare Kernel-Updates installieren. Als Workaround können folgende Befehle genutzt werden: rmmod rds_tcp rds sowie die Erstellung einer Konfigurationsdatei in /etc/modprobe.d/pintheft.conf.

Diese Sicherheitslücke reiht sich in eine Serie von Linux-Privilege-Escalation-Exploits ein, die in den letzten Wochen offengelegt wurden – darunter DirtyDecrypt, DirtyCBC und Copy Fail, welche bereits aktiv von Cyberattackern missbraucht werden. Die US-Behörde CISA hat Copy Fail auf ihre Liste ausgebeuteter Sicherheitslücken gesetzt und fordert Regierungsbehörden auf, ihre Linux-Systeme innerhalb von zwei Wochen zu sichern.

Share on: