Sicherheitsforscher haben ein ernsthaftes Problem in Linux-Systemen identifiziert. Diese Schwachstelle lässt Angreifer das „noexec“-Flag umgehen. Dieses Sicherheitsfeature ist in vielen Linux-Umgebungen implementiert. Es verbietet das Starten ausführbarer Dateien auf bestimmten Partitionen. Dazu gehören unter anderem die Verzeichnisse /tmp und /dev/shm. Eine neue Technik macht es jedoch möglich diese Schutzmaßnahme zu umgehen. Angreifer können nun Schadcode auf diesen Partitions ausführen.
Bedeutung des noexec-Flags
Das noexec-Flag spielt eine entscheidende Rolle im Schutz von Systemen. Man könnte es mit einer Alarmanlage im eigenen Zuhause vergleichen. Eine Alarmanlage ist nutzlos wenn Kriminelle einen Weg finden sie zu umgehen. Diese Situation beschreibt das aktuelle Problem im digitalen Raum. Es betrifft eines der am häufigsten verwendeten Betriebssysteme – Linux.
Neue Angriffsmethode
Die neue Angriffsmethode bedroht heute zahlreiche Linux-Nutzer. Angreifer können das noexec-Flag in Linux-Systemen aushebeln. Das Flag soll eigentlich die Ausführung von Programmen in bestimmten Bereichen einschränken. Es funktioniert wie ein Türsteher in einem Club. Der Türsteher entscheidet – wer hinein darf und wer nicht. Kritisch ist, dass die Angriffe Bereiche wie /tmp oder /dev/shm betreffen. Diese Bereiche fungieren oft als Datenspeicher. Früher galten sie als relativ sicher. Das noexec-Flag sorgte dafür, dass Programme dort nicht gestartet werden konnten. Doch dieser Schutz ist nicht weiterhin uneingeschränkt gültig.
Funktionsweise des noexec-Bypasses
Angreifer nutzen verschiedene Skriptsprachen. Perl, Bash und PHP stehen hierbei im Mittelpunkt. Mit diesen Skripten verwenden sie Systemaufrufe wie memfd_create und execveat. Somit können sie Schadcode direkt in laufende Prozesse einschleusen. Besorgniserregend ist, dass für diese Methode keine Root-Rechte erforderlich sind. Aus diesem Grund könnten ebenfalls weniger erfahrene Angreifer Zugang zu dieser Technik haben.
Risiken und Gefahren
Die Gefährlichkeit des noexec-Bypasses liegt in der Fähigkeit, bösartigen Code aus dem Internet herunterzuladen. So kann Schadcode auf geschützten Partitionen ausgeführt werden. Untersuchungen zeigen, dass selbst einfache Befehle wie id ohne Root-Zugriff auf Partitionen mit aktivem noexec-Flag ausgeführt werden können. Dieses Potenzial erhöht das Risiko von Angriffen erheblich. Angreifer können ohne große Schwierigkeiten Malware auf entfernte Server herunterladen und aktivieren. Securityonline berichtete darüber in einem aktuellen Artikel.
Gegenmaßnahmen
Es gibt jedoch Strategien zur Minimierung des Risikos dieser Schwachstelle. Linux-Administratoren sollten ihre Systeme regelmäßig aktualisieren. Ein aktuelles System erschwert potenzielle Angriffe. Wichtig ist zudem die Überprüfung der Rechtevergabe im System. Unnötige Berechtigungen minimieren kann helfen das Risiko zu senken. Sicherheitsmaßnahmen wie AppArmor oder SELinux können ähnlich wie zum Einsatz kommen. Diese Systeme tragen dazu bei – die Angriffsmöglichkeiten weiter einzuschränken.
Kommentare