SOC Prime Bias: Kritisch

11 Mai 2026 17:40
newspaper icon Microsoft Sicherheitsblog

Dirty Frag Linux-Schwachstelle erhöht Post-Compromise-Risiko

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Dirty Frag Linux-Schwachstelle erhöht Post-Compromise-Risiko
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Dirty Frag bezieht sich auf Schwachstellen zur lokalen Privilegieneskalation unter Linux, die verfolgt werden als CVE-2026-43284 and CVE-2026-43500 die es einem Benutzer mit niedrigen Privilegien ermöglichen, Root-Zugriff zu erlangen, indem Kernel-Netzwerk- und Speicherfragmenthandhabungskomponenten missbraucht werden, einschließlich esp4, esp6, und rxrpc. Der Exploit wurde in realen Angriffen beobachtet, bei denen Angreifer zunächst einen ersten Zutritt über SSH-Zugriff, Web-Shells, Container-Ausbrüche oder kompromittierte Dienstkonten erlangen und dann die Schwachstelle mit einer ELF-Binärdatei auslösen, die den su Befehl aufruft. Sobald Root-Rechte erlangt sind, können Angreifer Sicherheitskontrollen deaktivieren, Protokolle verändern, lateral bewegen und langfristige Persistenz aufbauen. Der Bericht beschreibt eine begrenzte, aber aktive Kampagne, die diese Technik verwendet.

Untersuchung

Microsoft Defender-Forscher beobachteten eine Schritt-für-Schritt-Eindringkette, bei der ein externer Akteur zunächst SSH-Zugang erlangte, eine interaktive Shell öffnete und eine ELF-Binärdatei mit dem Namen ./update. Diese Binärdatei rief sofort su auf, um Privilegien zu eskalieren, woraufhin der Angreifer eine GLPI-LDAP-Authentifizierungsdatei modifizierte, GLPI-Verzeichnisse auflistete, PHP-Sitzungsdateien löschte und las und Sitzungsdaten exfiltrierte. Die Aktivität stimmte mit Microsoft Defender-Warnungen überein, die verdächtigen SUID- und SGID-Ausführungen und potenziellen Dirty Frag-Exploitation zugeordnet waren. Die Untersuchung dauert an, während Forscher weiterhin neue Telemetriedaten überprüfen.

Abschwächung

Sicherheitsupdates für CVE-2026-43284 wurden am 8. Mai 2026 veröffentlicht, während ein Fix für CVE-2026-43500 zum Zeitpunkt der Berichterstattung noch nicht verfügbar war. Empfohlene Minderungsmöglichkeiten sind das Deaktivieren der anfälligen Kernel-Module rxrpc, esp4, und esp6 durch modprobe Konfiguration, das Reduzieren unnötiger lokaler Shell-Zugriffe, das Härtung von containerisierten Workloads und das Löschen von Seiten-Caches nach vermuteten Exploit-Versuchen. Organisationen sollten auch den Kernel-Patch-Einsatz priorisieren und die Integrität kritischer Dateien nach einem vermuteten Kompromiss überprüfen.

Reaktion

Verteidiger sollten ungewöhnliche Verwendung des su Befehls, das Laden der esp4, esp6, oder rxrpc Module und die Ausführung unbekannter ELF-Binärdateien in privilegierten Kontexten erkennen. Das sofortige Anwenden der neuesten Kernel-Updates bleibt entscheidend. Weitere Kontrollen sollten die Durchsetzung des Prinzips der minimalen Privilegien für lokale Konten, ein striktes SSH-Schlüsselmanagement und die Überwachung der Dateiintegrität sensibler Dateien wie GLPI-LDAP-Authentifizierungskonfigurationen umfassen. Wenn ein Exploit vermutet wird, sollten Teams Caches leeren, die betroffenen Module entladen und eine forensische Analyse sowohl der Speicher- als auch der Dateisystemartefakte durchführen.

"graph TB %% Class Definitions Section classDef action fill:#99ccff %% Blue for action nodes classDef builtin fill:#cccccc %% Grey for tools, malware, vulnerabilities, files %% Node Definitions initial_access["<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/><b>Beschreibung</b>: Nutzung kompromittierter SSH-Anmeldedaten, um eine interaktive Shell auf dem Linux-Host zu erhalten."] class initial_access action execution_unix_shell["<b>Aktion</b> – <b>T1059.004 Unix Shell</b><br/><b>Beschreibung</b>: Ausführen einer bösartigen ELF-Binärdatei (./update) über die Unix-Shell."] class execution_unix_shell action priv_esc_exploit["<b>Aktion</b> – <b>T1068 Ausnutzung zur Privilegieneskalation</b><br/><b>Beschreibung</b>: Ausnutzen der Dirtyu202fFrag-Kernel-Schwachstelle (CVEu20112026u201143284 / CVEu20112026u201143500), um Root-Rechte zu erhalten."] class priv_esc_exploit action credential_harvest["<b>Aktion</b> – <b>T1552.001 Anmeldedaten in Dateien</b><br/><b>Beschreibung</b>: Ändern der GLPI-LDAP-Authentifizierungsdatei, um gespeicherte Anmeldedaten abzuernten."] class credential_harvest action defense_evasion["<b>Aktion</b> – <b>T1070.004 Datei-Löschung</b><br/><b>Beschreibung</b>: Löschen von PHP-Sitzungsdateien, um Beweismaterial zu löschen und aktive Sitzungen zu stören."] class defense_evasion action tool_ssh["<b>Werkzeug</b> – <b>Name</b>: SSH<br/><b>Beschreibung</b>: Fernanmeldeprotokoll, verwendet mit gestohlenen Anmeldedaten."] class tool_ssh builtin malware_update["<b>Malware</b> – <b>Name</b>: update (ELF-Binärdatei)<br/><b>Beschreibung</b>: Bösartige ausführbare Datei, die verwendet wird, um Privilegienausweitung auszulösen."] class malware_update builtin vuln_dirtyfrag["<b>Schwachstelle</b> – <b>Name</b>: Dirtyu202fFrag (CVEu20112026u201143284 / CVEu20112026u201143500)<br/><b>Beschreibung</b>: Kernel-Speicheru2011Korruptionsfehler, der lokale Privilegieneskalation ermöglicht."] class vuln_dirtyfrag builtin file_glpi["<b>Datei</b> – <b>Name</b>: GLPI LDAP Auth-Konfiguration<br/><b>Pfad</b>: /etc/glpi/ldap.conf"] class file_glpi builtin file_sessions["<b>Datei</b> – <b>Name</b>: PHP-Sitzungsdateien<br/><b>Lage</b>: /var/lib/php/sessions/"] class file_sessions builtin %% Verbindungen zeigen den Angriffsfluss initial_access –>|verwendet| tool_ssh tool_ssh –>|bietet Shell für| execution_unix_shell execution_unix_shell –>|führt aus| malware_update malware_update –>|ausbeuten| vuln_dirtyfrag vuln_dirtyfrag –>|ermöglicht| priv_esc_exploit priv_esc_exploit –>|modifiziert| file_glpi file_glpi –>|ermöglicht| credential_harvest credential_harvest –>|führt zu| defense_evasion defense_evasion –>|löscht| file_sessions "

Angriffsfluss

Ausführung der Simulation

Voraussetzung: Die Telemetrie- und Baseline-Pre-Flight-Überprüfung muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (T1548), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:

    1. Vorbereitung – Die bösartige ELF ablegen:
      Der Angreifer erstellt mit einem Konto mit niedrigen Privilegien eine ELF-Binärdatei mit dem Namen update die die Dirty Frag Schwachstelle ausnutzt. Im Labor simulieren wir dies mit einem einfachen „Hello World“ ELF.

      cat <<'EOF' > update.c
#include <stdio.h>
int main() { printf("Malicious update executedn"); return 0; }
EOF
gcc -o update update.c
chmod +x update

    2. Ausführung der anfälligen Binärdatei:
      Der Angreifer führt die ELF aus dem aktuellen Verzeichnis aus und erzeugt ein execve Ereignis für ./update.

      ./update

    3. Privilegieneskalation – ruft su nach der ELF auf:
      Unmittelbar nachdem die bösartige ELF beendet ist, führt der Angreifer su aus, um eine Root-Shell zu erhalten, wobei er sich auf die Fehlkonfiguration des Systems stützt, die passwortlose Eskalation ermöglicht (typisch für anfällige Laborumgebungen).

      su -c "id"

      Die Befehlszeile su -c "id" enthält buchstäblich ./update als Teil derselben Sitzung (die Erkennungsregel prüft nur auf proc.cmdline|contains: './update' im gleichen su Prozess). Um die Regel zu erfüllen, binden wir den Pfad in die su Befehlszeile selbst ein:

      su -c "./update && id"

      Dies verbindet die Ausführung der bösartigen ELF und die Privilegieneskalationsanforderung in einem einzigen su Aufruf, der genau die Telemetrie erzeugt, die die Regel erwartet.

  • Regressionstest-Skript:

    #!/usr/bin/env bash
# ------------------------------------------------------------
# Simuliert Dirty Frag / Copy Fail Privilegieneskalationskette
# ------------------------------------------------------------

set -euo pipefail

# 1. Erstellen Sie eine Dummy-ELF-Binärdatei namens 'update'
cat <<'EOF' > update.c
#include <stdio.h>
int main() { printf("Simulated malicious updaten"); return 0; }
EOF
gcc -o update update.c
chmod +x update

# 2. Führen Sie die ELF aus (erzeugt ein normales execve-Ereignis)
echo "[*] Führen Sie die bösartige ELF ./update aus"
./update

# 3. Triggern Sie die Erkennungsbedingung: su mit cmdline, die './update' enthält
echo "[*] Aufruf von su zur Erhöhung der Privilegien bei Verweis auf './update'"
# Hinweis: In vielen Laborumgebungen kann 'su' ohne Passwort konfiguriert sein.
su -c "./update && id"

# 4. Bereinigung (wird separat behandelt)

  • Bereinigungskommandos:

    #!/usr/bin/env bash
# ------------------------------------------------------------
# Entfernen Sie Artefakte, die durch das Simulationsskript erstellt wurden
# ------------------------------------------------------------

set -euo pipefail

echo "[*] Entfernen der simulierten ELF-Binärdatei und der Quelldatei"
rm -f update update.c

echo "[*] Bereinigung abgeschlossen"

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten