Dieser wahnsinnige Fehler in Linux verschafft jedem Zugriff auf Ihre Box

Android-Telefone, Linux-Desktops und -Server haben alle eine gemeinsame Abstammung. Sie basieren alle auf einem gemeinsamen Kernel und verwenden gemeinsame Dienstprogramme und Komponenten. Wenn in diesen Bereichen eine Sicherheitslücke gefunden wird, ist die Ansteckung massiv und Hunderte Millionen Computer und mobile Geräte sind unweigerlich betroffen.

Eine kürzlich entdeckte Sicherheitslücke (CVE-2016-0728) im Linux-Kernel ist ein erstaunliches Beispiel dafür. Es nutzt einen Fehler im Betriebssystem-Schlüsselbund und würde es jedem unberechtigten Angreifer oder Benutzer ermöglichen, Root-Zugriff auf das betreffende System zu erlangen. Hier ist, wie es funktioniert und worauf Sie achten müssen.

Informationen zu dieser Sicherheitsanfälligkeit

Diese Schwachstelle wurde von Perception Point entdeckt, einem großen Beratungsunternehmen für Informationssicherheit in Tel Aviv. Der Fehler wurde erstmals vor etwa drei Jahren mit der Veröffentlichung des Linux-Kernels eingeführt. Der Linux-Kern: Eine Erklärung in den Begriffen von Layman Der Linux-Kern: Eine Erklärung in den Begriffen von Layman Es gibt nur eine De-facto-Sache, die Linux-Distributionen gemeinsam haben: die Linux Kernel. Aber obwohl oft darüber geredet wird, wissen viele Leute nicht genau, was sie tun. Lesen Sie mehr Version 3.8. Perception Point schätzt, dass rund zwei Drittel der Android-Geräte und eine unerkennbare Anzahl von Linux-Desktops und -Servern (wahrscheinlich in zweistelliger Millionenhöhe) anfällig sind.

Wie bereits erwähnt, wird dieser Fehler im Betriebssystemschlüsselring gefunden. Dies ist die in Linux verwendete Komponente, mit der Treiber Sicherheitsdaten wie Verschlüsselungsschlüssel und Authentifizierungs-Token zwischenspeichern können. Daten, die im Betriebssystemschlüsselring gespeichert sind, sollten nicht für andere Anwendungen zugänglich sein.

Der Exploit selbst nutzt einen Fehler bei der Verwaltung des Speichers im Betriebssystemschlüsselring. Durch Ausführen eines Pufferüberlaufs können die Angreifer das Betriebssystem dazu veranlassen, einen beliebigen Shellcode auszuführen, der als root ausgeführt wird.

Es wird erwartet, dass die meisten Linux-Distributionen bis Anfang nächster Woche Korrekturen veröffentlichen werden. Wenn Sie jedoch über einen modernen Intel-Prozessor (Broadwell oder höher) verfügen, sollten SMAP (Überwachungsmoduszugriffsverhinderung) und SMEP (Überwachungsmodusausführungsverhinderung) aktiviert sein und den Schaden begrenzen, den diese Sicherheitsanfälligkeit verursachen kann.

In der Zwischenzeit sollte SELinux auch unter Android den Trick ausführen. Es sei darauf hingewiesen, dass Google die Risiken dieser Sicherheitsanfälligkeit vehement heruntergespielt hat. In einer Erklärung gaben sie an, dass alle Geräte, auf denen Android 5.0 Lollipop und höher ausgeführt wird, durch SELinux geschützt sind, und die Mehrheit der älteren Geräte (auf denen Android 4.4 KitKat oder älter läuft) nicht den anfälligen Code enthalten, der in Version 3.8 des Linux-Kernels eingeführt wurde.

Das Android-Sicherheitsteam beklagte sich auch darüber, dass sie nicht aufgefordert wurden, einen Patch zu veröffentlichen. Im Wesentlichen sagten sie, dass der Perception Point keine verantwortungsvolle Offenlegung durchgeführt hat. Vollständige oder verantwortliche Offenlegung: Offenlegung von Sicherheitslücken Vollständige oder Verantwortliche Offenlegung: Offenlegung von Sicherheitslücken Sicherheitslücken in gängigen Softwarepaketen werden ständig entdeckt, aber wie ist sie? an Entwickler berichtet, und wie erfahren Hacker über Schwachstellen, die sie ausnutzen können? Weiterlesen .

Im Wesentlichen heißt es nicht, dass es kein Problem gibt, sondern dass ein viel geringerer Anteil von Android-Geräten betroffen ist, wie zuvor von Perception Point behauptet wurde. Trotzdem geben sie eine Korrektur heraus, die bei ihrer Veröffentlichung diese klaffende Sicherheitslücke ein für alle Mal schließen sollte.

Überprüfen Sie Ihr Privileg

Eines der grundlegendsten Prinzipien der Computersicherheit kann kurz zusammengefasst werden als: Nicht alle Benutzer sollten in der Lage sein, alle Dinge zu jeder Zeit auszuführen.

Wenn ein Benutzer ständig als Root oder Administrator angemeldet war, wäre es für eine Malware oder einen entfernten Angreifer wesentlich einfacher, erheblichen Schaden zu verursachen. Aus diesem Grund befinden sich die meisten Benutzer und Anwendungen in einem eingeschränkten Modus mit eingeschränkten Berechtigungen. Wenn sie etwas tun möchten, das den Computer beschädigen könnte, z. B. ein neues Programm installieren oder eine wichtige Konfigurationsdatei ändern, müssen sie zunächst ihre Berechtigungen erhöhen. Dieses Konzept ist universell und kann von praktisch jedem Betriebssystem gefunden werden.

Angenommen, jemand ist bei einem Linux- oder Mac-Computer mit einem Administratorkonto angemeldet und möchte seine Hosts bearbeiten. So bearbeiten Sie die Mac OS X-Hostdatei (und warum möchten Sie dies tun)? So bearbeiten Sie die Mac OS X-Hostdatei (und Warum Sie dies vielleicht tun möchten) Die Hosts-Datei wird von Ihrem Computer verwendet, um Hostnamen IP-Adressen zuzuordnen. Durch Hinzufügen oder Entfernen von Zeilen zu Ihrer hosts-Datei können Sie ändern, wohin bestimmte Domänen beim Zugriff auf sie verweisen. Weitere Informationen finden Sie hier, um einen Hostnamen einer lokalen IP-Adresse zuzuordnen. Wenn Sie versuchen, es sofort mit einem Texteditor zu öffnen, wird das Betriebssystem mit einer Fehlermeldung zurückkehren “Zugriff verweigert”.

Damit es funktioniert, müssten sie ihre Privilegien erhöhen. Sie können unbegrenzt in den Superuser-Modus wechseln. Was ist SU und warum ist es wichtig, Linux effektiv zu verwenden? Was ist SU und warum ist es wichtig, Linux effektiv zu nutzen? Das Linux-Benutzerkonto oder Root-Benutzerkonto ist ein leistungsfähiges Werkzeug, das bei richtiger Verwendung hilfreich oder bei rücksichtsloser Verwendung verheerend sein kann. Schauen wir uns an, warum Sie bei der Verwendung von SU verantwortlich sein sollten. Lesen Sie mehr durch Laufen “Sudo Su”. Dies ist hilfreich, wenn eine Reihe von eingeschränkten Aktionen über einen nicht festgelegten Zeitraum ausgeführt wird. Um diesen Modus zu verlassen und zum normalen Benutzerkonto zurückzukehren, verwenden Sie einfach die “Ausfahrt” Befehl.

Um nur einen Befehl als Superuser auszuführen, müssen Sie diesen Befehl einfach mit “Sudo”. Am Beispiel der hosts-Datei können Sie diese mit bearbeiten “sudo vim etc / hosts”. Sie werden dann aufgefordert, Ihr Passwort einzugeben. Wenn das Konto nicht über Administratorrechte verfügt (d. H. Ein Standardbenutzerkonto ist), funktioniert der Befehl nicht.

Unter Android haben sie ein grundlegend anderes Berechtigungsmodell, bei dem Anwendungen atomisiert und in Sandboxen versetzt werden und Benutzer unter der Haube begrenzte Änderungen vornehmen können. Benutzer werden aktiv davon abgeraten, Zugriff auf das Stammverzeichnis zu erhalten. Dies ist der Grund, warum die meisten Netzbetreiber und Hersteller (mit HTC unter den Ausnahmen) Wurzeln für die erste Generation des HTC One. Wurzeln für die erste Generation des HTC One. Ungewöhnlich gibt es keine speziellen Dienstprogramme, die dies ermöglichen - stattdessen müssen Sie das von HTC empfohlene Rooting verwenden Lesen Sie mehr) aktiv Benutzer davon ab, ihre Handys zu verwurzeln, und warum es ein bisschen wie “dunkle Kunst”.

Windows hat auch ein eigenes System mit erhöhten Berechtigungen. Immer wenn ein Programm am System Änderungen vornimmt, für die erweiterte Berechtigungen erforderlich sind, fordert Windows den Benutzer mit einem UAC-Fenster (User Access Control) auf. Dies zeigt das Programm, das erhöhte Berechtigungen anfordert. Wenn der Code eine kryptografische Signatur erhalten hat, wird angezeigt, wer ihn signiert hat, sodass Sie Betrügerprogramme erkennen können. Der Benutzer kann dann dem Programm die gewünschten Berechtigungen erteilen oder ablehnen.

Während dieser Prozess nicht ohne Mängel ist (UAC-Fenster werden als ziemlich ärgerlich betrachtet. Stop nervende UAC-Eingabeaufforderungen - Erstellen einer Whitelist für die Benutzerkontensteuerung [Windows] Stoppen Sie ärgerliche UAC-Eingabeaufforderungen Vista, wir Windows-Benutzer wurden belästigt, geärgert, verärgert und müde von der Aufforderung der Benutzerkontensteuerung (User Account Control, UAC), die uns mitteilt, dass ein Programm startet, das wir absichtlich gestartet haben. Sicher, es hat sich verbessert und ist im Allgemeinen gerecht 'angeklickt' ist), das normalerweise funktioniert. Es kann jedoch leicht durch Fehler im Betriebssystem umgangen werden, ähnlich wie bei Perception Point.

Zunehmende Bedrohungen für Linux-Geräte

In den letzten Jahren gab es eine Flut von Angriffen, die auf Linux-basierte Betriebssysteme abzielten, da sie ihre Position auf dem Servermarkt festigen und ihren Marktanteil auf dem Desktop erhöhen.

Vor kurzem entdeckten Forscher in Russland einen Remote Access Trojaner, wie er einfach und effektiv mit Remote Access Trojanern umgehen kann. Wie er einfach und effektiv mit Remote Access Trojanern umgehen kann. Wenn Sie der Meinung sind, dass Sie mit einem Remote-Zugriff-Trojaner infiziert wurden, können Sie diesen einfach entfernen, indem Sie die folgenden einfachen Schritte ausführen. Lesen Sie mehr, das einem Angreifer dabei helfen soll, Benutzer auszuspionieren. Der Trojaner wird Linux.Ekoms.1 genannt und erstellt alle 30 Sekunden einen Screenshot. Dieser wird in einem temporären Ordner als JPEG gespeichert, das mit einer anderen Dateierweiterung getarnt ist. Eine weitere Analyse des Trojaners ergab, dass die Entwickler an Funktionen arbeiteten, die es ermöglichen, Audio aufzunehmen. Diese Dateien werden dann an einen Remote-Server gesendet. Die Angreifer können Befehle auch über einen Command-and-Control-Server ausgeben.

Ein weiteres Rootkit für Linux - Snakso-A genannt - zielte auf 64-Bit-Linux-Webserver ab und entführte im Hintergrund die Webseiten, die bereitgestellt wurden, um einen Malware-dienenden iFrame zu injizieren.

Dann gibt es natürlich die Schwachstellen, die so ernst waren, dass sie zu internationalen Nachrichten wurden. Ich spreche von Leuten wie Shellshock Worse Than Heartbleed? Treffen Sie ShellShock: Eine neue Sicherheitsbedrohung für OS X und Linux, die schlimmer als Herzblut sind? Lernen Sie ShellShock kennen: Eine neue Sicherheitsbedrohung für OS X und Linux Lesen Sie mehr, die GHOST-Schwachstelle Der Linux-Ghost-Fehler: Alles, was Sie wissen müssen Der Linux-Ghost-Fehler: Alles, was Sie wissen müssen Die GHOST-Schwachstelle ist ein wesentlicher Teil eines jeden große Linux-Distribution. Theoretisch könnte es Hackern möglich sein, Computer ohne Benutzernamen oder Kennwort zu kontrollieren. Lesen Sie mehr und Heartbleed Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Weiterlesen .

Diese Bedrohungen werden im Allgemeinen von den Betreuern und den Entwicklern der von ihnen betroffenen Linux-Komponenten in geeigneter Weise behoben. In den letzten Monaten wurde ihre Fähigkeit dazu jedoch aufgrund von Geld- und Personalengpässen in Frage gestellt, was die Frage aufwirft, ob Linux ein Opfer seines eigenen Erfolges war. Ist Linux ein Opfer seines eigenen Erfolgs? War Linux ein Opfer seines eigenen Erfolgs? Warum sagte der Chef der Linux-Stiftung, Jim Zemlin, kürzlich, dass das "goldene Zeitalter von Linux" bald zu Ende gehen könnte? Ist die Mission "Linux fördern, schützen und weiterentwickeln" fehlgeschlagen? Weiterlesen .

Auf Updates prüfen

In den nächsten Tagen werden die meisten Linux-Distributionen ebenso wie Google für Android Patches veröffentlichen. Es wird empfohlen, den Paketmanager regelmäßig auf Updates zu überprüfen.

Hat diese Sicherheitsanfälligkeit Sie gefragt, ob Sie Linux weiterhin verwenden sollten? Erzähl mir davon in den Kommentaren unten.

Bildnachweis: Crypt (Christian Ditaputratama), Passwortdatei (Christiaan Colen)

Erfahren Sie mehr über: Computersicherheit, Online-Sicherheit, Trojanisches Pferd.