Hochgradiger Fehler in Linux ermöglicht Privilegieneskalation zu Root
Inhaltsverzeichnis:
Ein berüchtigtes Sicherheitsloch im Polkit-Authentifizierungssystemdienst setzt die meisten modernen Linux-Distributionen dem Risiko von Privilegienerweiterungsangriffen aus. Ein Problem mit hoher Schwere (CVE-2021-3560) ermöglicht es einem Hacker, über eine Reihe einfacher Befehle im Terminal Root-Rechte zu erlangen. Der Fehler wurde in Red Hat Enterprise Linux, Fedora, Debian und Ubuntu bestätigt. Doch die gute Nachricht ist, dass der Patch am 3. Juni 2021 veröffentlicht wurde.
CVE-2021-3560 Beschreibung
Laut der Forschung von Kevin Backhouse, einem Experten im GitHub Security Lab, wurde CVE-2021-3560 vor fast einem Jahrzehnt mit der Veröffentlichung von Polkit Version 0.113 eingeführt. Der Grund, warum es so lange unbemerkt blieb, ist, dass moderne Linux-Distributionen die fehlerhafte Polkit-Version erst kürzlich ausgeliefert haben.
Der Fehler selbst ist ein Authentifizierungs-Bypass-Problem, das aufgrund der fehlerhaften Behandlung von unterbrochenen Autorisierungsanfragen durch Prozesse mit niedrigeren Privilegien auftritt. Infolgedessen kann ein nicht privilegierter Hacker eine Root-Shell durch Timing-Angriffe erlangen. Bemerkenswerterweise ist die Ausnutzungsroutine unkompliziert. Angreifer benötigen nur Standardwerkzeuge wie bash, kill oder dbus-send und ein paar Befehle im Terminal. Kevin Backhouse veröffentlichte ein Video eines Proof-of-Concept (PoC) Exploits für diesen Fehler, das einen einfachen und schnellen Weg zur Auslösung zeigt.
Derzeit wurden von diesem Fehler betroffene Linux-Distributionen wie RHEL 8, Fedora 21 (und später), Ubuntu 20.04, Red Hat Enterprise Linux 8 sowie Debian Testing („bullseye“) festgestellt. Die einfache Ausnutzung und die Vielzahl an anfälligen Installationen machen diesen Fehler extrem gefährlich. Benutzern wird dringend geraten, ASAP zu patchen, da es keine möglichen Minderungslösungen für dieses Problem gibt.
CVE-2021-3560 Erkennung
Um Ihre Infrastruktur abzusichern und bösartige Befehle zu erkennen, die in der manuellen Privilegienerweiterung verwendet werden, können Sie eine exklusive Sigma-Regelveröffentlichung des SOC Prime-Teams herunterladen.
https://tdm.socprime.com/tdm/info/OzudSRuln53K/#sigma
Die Regel ist in die folgenden Sprachen übersetzt:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Taktiken: Privilegienerweiterung
Techniken: Ausnutzung zur Privilegienerweiterung (T1068)
Holen Sie sich ein kostenloses Abonnement des Threat Detection Marketplace, um Ihre Cyberabwehr-Fähigkeiten zu verbessern! Unsere SOC-Inhaltsbibliothek aggregiert über 100.000 Erkennungs- und Reaktionsalgorithmen, die direkt auf CVE und MITRE ATT&CK® Frameworks abgebildet sind, sodass Sie sich gegen berüchtigte Cyberangriffe in den frühen Stadien eines Eindringens verteidigen können. Begeistert, Ihre eigenen Erkennungen zu entwickeln? Treten Sie unserem Threat Bounty-Programm für eine sicherere Zukunft bei!
