Erkennen Sie CVE-2021-4034: Eine berüchtigte PwnKit-Schwachstelle, die alle großen Linux-Distributionen betrifft

[post-views]
Januar 27, 2022 · 3 min zu lesen
Erkennen Sie CVE-2021-4034: Eine berüchtigte PwnKit-Schwachstelle, die alle großen Linux-Distributionen betrifft

Was im Dunkeln passiert, muss ans Licht kommen. Sicherheitsexperten haben einen besonders gefährlichen 12 Jahre alten Fehler aufgedeckt, der fast alle Linux-Hosts betrifft. Die Schwachstelle ermöglicht einem lokalen, unprivilegierten Bedrohungsakteur den vollständigen Root-Zugriff auf buchstäblich jede Linux-Maschine, wenn sie erfolgreich ausgenutzt wird.

CVE-2021-4034 (PwnKit) Beschreibung

Während sich der Cyber-Bereich noch von der Log4j Katastrophe erholt, haben Sicherheitsprofis nun ein weiteres Sicherheitsproblem von ähnlichem Umfang und Ausmaß zu bewältigen. Der Fehler, verfolgt als CVE-2021-4034, wurde mit dem allerersten Commit der Polkit pkexec-Funktion im Jahr 2009 eingeführt und betrifft alle bestehenden Polkit-Versionen.

Polkit (früher PolicyKit) ist ein nativer Bestandteil von Unix-ähnlichen Betriebssystemen, der dazu genutzt wird, Autorisierungen zu definieren und zu verwalten. Als Teil dieses Open-Source-Anwendungsframeworks bietet die pkexec-Funktion die Möglichkeit, Befehle mit den höchsten Privilegien auszuführen. Folglich bietet das PwnKit-Speicherkorruptionsproblem Gegnern die Möglichkeit, Root-Rechte auf Systemen mit Standard-Polkit-Konfigurationen zu erlangen. Obwohl es keine Option für eine Fernexploit gibt, kann jeder lokale Benutzer CVE-2021-4034 sofort ausnutzen, so die Analyse von Qualys

Es wurde bestätigt, dass CentOS, Debian, Fedora und Ubuntu betroffen sind. Auch andere Linux-Betriebssysteme werden voraussichtlich betroffen sein.

PwnKit Exploit

Während ihrer Untersuchung haben die Experten von Qualys einen funktionierenden PoC-Exploit für CVE-2021-4034 entwickelt. Da der Ausnutzungsprozess jedoch mühelos ist, haben die Sicherheitsexperten beschlossen, den PoC für PwnKit nicht öffentlich zu veröffentlichen.

Doch nichts bleibt für immer vergraben. Nur wenige Stunden nachdem der Qualys-Bericht veröffentlicht wurde, brach eine Lawine an PoCs los. Laut Medienberichten sind diese Exploits voll funktionsfähig und zuverlässig. Darüber hinaus bezeichnet der CERT/CC-Analyst Will Dormann diese Exploits als sowohl einfach als auch universell, was erneut beweist, dass wir bald weitverbreitete Ausnutzungen in freier Wildbahn erwarten sollten.

CVE-2021-4034 (PwnKit) Erkennung und Minderung

Qualys-Experten berichteten Mitte November 2021 über den kritischen Fehler, und ein Patch dafür wurde im Januar 2022 herausgegeben. Benutzer werden aufgefordert, ihre Installationen so schnell wie möglich zu aktualisieren, da die Sicherheitslücke kritisch ist und die Ausnutzungsroutine einfach ist.

Der Patch von den Polkit-Maintainern wurde bereits auf GitLab gestellt. Außerdem haben Linux-Distributionen vorzeitig darauf zugegriffen, Ubuntu and Red Hat Updates wurden bereits veröffentlicht, um die Schutzmaßnahmen gegen die PwnKit-Schwachstelle zu verbessern.

Um mögliche Ausnutzungsversuche zu identifizieren und Ihre Unternehmensinfrastruktur vor PwnKit-Angriffen zu schützen, sollten Sie in Betracht ziehen, ein Set kuratierter Sigma-Regeln des SOC Prime Teams herunterzuladen. Die unten aufgeführten Erkennungen identifizieren das anormale Verhalten im Zusammenhang mit der PwnKit-Ausnutzung und sind kostenlos auf der SOC Prime Detection as Code-Plattform verfügbar:

Mögliche lokale Privilegienerhöhungsschwachstelle in Polkit [CVE-2021-4034] (über Schlüsselwörter)

Mögliche lokale Privilegienerhöhungsschwachstelle in Polkit [CVE-2021-4034] (über file_event)

Mögliche lokale Privilegienerhöhungsschwachstelle in Polkit [CVE-2021-4034] (über cmdline)

Die dynamisch aktualisierte Liste der Erkennungsregeln für CVE-2021-4034 (PwnKit) ist erhältlich über diesen Link.

Treten Sie der SOC Prime Detection as Code-Plattform kostenlos bei, um nach den neuesten Bedrohungen in Ihrer SIEM- oder XDR-Umgebung zu suchen, Ihre Bedrohungsabdeckung zu verbessern, indem Sie die relevantesten Inhalte entsprechend der MITRE ATT&CK-Matrix erreichen, und insgesamt die Cyberabwehrfähigkeiten der Organisation zu stärken. Sind Sie ein Inhaltsautor? Nutzen Sie die Macht der weltweit größten Cyberabwehr-Community, indem Sie dem SOC Prime Threat Bounty-Programm beitreten, wo Forscher ihre eigenen Erkennungsinhalte monetarisieren können.

Zur Plattform Threat Bounty beitreten

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung 2 min zu lesen SOC Prime Plattform Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung by Steven Edwards XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko
Alle Nachrichten