Thought Leadership
Ein neuer PoC-Exploit namens DirtyDecrypt ermöglicht lokalen Angreifern das Erlangen von Root-Rechten auf anfälligen Linux-Distributionen.
Sicherheitsforscher haben funktionsfähigen Proof-of-Concept-Code (PoC) für eine Sicherheitslücke im Linux-Kernel veröffentlicht. Die unter dem Namen „DirtyDecrypt“ (gelegentlich auch „DirtyCBC“) bekannte Schwachstelle erlaubt es lokalen Angreifern mit niedrigen Benutzerrechten, ihre Privilegien vollständig zu eskalieren und administrativen Vollzugriff (Root-Rechte) auf dem betroffenen System zu erlangen. Entdeckt wurde der Fehler vom IT-Sicherheitsteam „V12“, nachdem die Linux-Kernel-Maintainer bereits im April 2026 entsprechende Sicherheitsupdates in den offiziellen Code-Zweigen bereitgestellt hatten. Der nun frei verfügbare Exploit erhöht den Handlungsdruck auf Systemadministratoren, ausstehende Kernel-Updates zeitnah einzuspielen.
Fehlender COW-Schutz im RxGK-Subsystem
Die technische Ursache von DirtyDecrypt liegt in einer unzureichenden Validierung innerhalb des Netzwerksubsystems des Linux-Kernels. Konkret identifizierten die Forscher des V12-Teams eine fehlende Absicherung beim sogenannten Copy-on-Write-Verfahren (COW Guard) in der Funktion rxgk_decrypt_skb. Diese Komponente ist fester Bestandteil des RxGK-Subsystems. RxGK wiederum fungiert als dedizierte Sicherheitsklasse für das RxRPC-Netzwerkprotokoll, welches vom verteilten Dateisystem Andrew File System (AFS) sowie dessen Open-Source-Variante OpenAFS genutzt wird. Zur Gewährleistung von Authentifizierung, Vertraulichkeit und Integritätssicherung greift das Protokoll auf das standardisierte GSSAPI-Framework zurück.
Durch das Fehlen der Sicherheitsüberprüfung in der Entschlüsselungsfunktion akzeptiert der Kernel fehlerhafte, überdimensionierte Antwort-Authentifikatoren (Oversized Response Authenticators). Anstatt diese Pakete aufgrund der ungültigen Längenangabe direkt zu verwerfen, verarbeitet das System die Daten weiter. Dies führt im weiteren Verlauf dazu, dass Daten unkontrolliert in den geschützten Arbeitsspeicher privilegierter Prozesse oder direkt in den Page-Cache (Seiten-Cache) des Kernels geschrieben werden können.
Manipulation des Page-Caches und Missbrauch von SUID-Binärdateien
Die Manipulation des Page-Caches stellt eine Bedrohung für die Integrität des Betriebssystems dar. Der Page-Cache dient dem Kernel als flüchtiger Zwischenspeicher für Dateiinhalte, um wiederholte Lese- und Schreibzugriffe auf die physischen Datenträger zu beschleunigen. Wenn ein Benutzer eine ausführbare Datei startet, lädt das System diese in den Page-Cache. DirtyDecrypt ermöglicht es einem lokalen Angreifer, Daten in die im Speicher gecachten Abbilder von privilegierten Systemdateien einzuschleusen, die über das SUID-Bit (Set Owner User ID) verfügen.
Zu diesen kritischen Binärdateien gehören essenzielle Systemwerkzeuge wie su oder sudo, die standardmäßig mit den Rechten des Administrators (UID 0) ausgeführt werden. Indem der Angreifer den im Arbeitsspeicher befindlichen Code einer solchen Datei modifiziert, kann er Schadcode injizieren. Sobald ein legitimer Benutzer oder ein Systemdienst das betroffene Werkzeug im Anschluss aufruft, führt der Kernel den manipulierten Code im Kontext des Root-Benutzers aus. Da die Modifikation direkt im Arbeitsspeicher erfolgt, bleibt die physische Datei auf der Festplatte unverändert, was die Erkennung durch klassische Integritätsprüfer erschwert.
Einordnung unter CVE-2026-31635
In der Sicherheits-Community wird die zugrundeliegende Schwachstelle von Experten wie Will Dormann, Senior Principal Vulnerability Analyst bei Tharros Labs, mit der Kennung CVE-2026-31635 verknüpft. Diese spezifische Schwachstelle wurde offiziell am 24. April 2026 dokumentiert, zeitgleich mit dem Rollout der entsprechenden Korrekturen für die Hauptzweige (Mainline) des Linux-Kernels. Das Common Vulnerability Scoring System (CVSS) bewertet die Lücke mit einem Basiswert von 7.5 (High). Der Fehlercode beschreibt die invertierte Längenprüfung in der Funktion rxgk_verify_response(), welche die Übergabe unzulässiger Paketlängen an die nachfolgende Entschlüsselung erst ermöglicht.
Die Verwundbarkeit eines Systems hängt von der jeweiligen Kernel-Konfiguration ab. DirtyDecrypt betrifft ausschließlich Linux-Distributionen, bei denen das RxGK-Modul über den Konfigurationsparameter CONFIG_RXGK fest in den Kernel einkompiliert oder als ladbares Modul aktiv geschaltet ist. Dies ist standardmäßig bei mehreren populären Distributionen der Fall, darunter Arch Linux, Fedora und openSUSE. Systeme, auf denen diese Netzwerkkomponenten nicht konfiguriert sind, sind gegen diesen spezifischen Angriffsvektor immun.
Eskalationsrisiko in Container- und Cloud-Plattformen
Innerhalb von virtualisierten Infrastrukturen und containerbasierten Cloud-Plattformen wie Kubernetes verschärft sich das Gefahrenpotenzial. In standardmäßigen Container-Umgebungen teilen sich die einzelnen isolierten Container (Pods) den zugrundeliegenden Kernel des Host-Betriebssystems. Da auch der Page-Cache eine hostweite Komponente darstellt und nicht pro Container isoliert wird, betrifft eine Korruption des Caches das gesamte System.
Sicherheitsanalysten weisen darauf hin, dass ein Angreifer, der die Kontrolle über einen einzelnen unprivilegierten Container erlangt hat, DirtyDecrypt für einen vollständigen Ausbruch (Container Escape oder Pod Escape) nutzen kann. Durch die Manipulation des gemeinsamen Page-Caches auf dem Worker-Node erlangt der Angreifer administrative Kontrolle über das zugrundeliegende Host-System. Von dort aus ist der Zugriff auf benachbarte Container, sensible Cloud-Zugangsdaten und das übergeordnete Netzwerk möglich.
Aktuelle Welle zuverlässiger Linux-Kernel-Exploits
DirtyDecrypt steht nicht isoliert da, sondern reiht sich in eine Serie von Fehlern im Speichermanagement des Linux-Kernels ein, die im Frühjahr 2026 entdeckt wurden. Das V12-Team stuft die Schwachstelle als eine Variante einer neuen Klasse von Logikfehlern ein, zu denen auch die Fehler „CopyFail“, „DirtyFrag“ und „Fragnesia“ gehören.
Das gemeinsame Merkmal dieser Angriffe ist ihre Zuverlässigkeit: Im Gegensatz zu älteren Kernel-Exploits, die oft auf unvorhersehbare Timing-Fenster oder instabile Race Conditions angewiesen waren und häufig zu Systemabstürzen (Kernel Panics) führten, erlauben diese neuen Varianten eine deterministische Modifikation des Speichers. CopyFail (CVE-2026-31431), das Ende April über die Krypto-API (algif_aead) offengelegt wurde, ermöglichte kontrollierte Schreibzugriffe in den Page-Cache und wird bereits aktiv ausgenutzt.
Die Anfang Mai entdeckte Lücke DirtyFrag kombiniert Fehler in der Fragmentierungsverarbeitung (esp4, esp6, rxrpc), während die jüngst dokumentierte Schwachstelle Fragnesia (CVE-2026-46300) das XFRM ESP-in-TCP-Subsystem betrifft. Allen gemein ist das Ziel, über eine initiale, unprivilegierte Code-Ausführung, etwa über kompromittierte Web-Shells oder SSH-Zugänge, dauerhaften administrativen Root-Zugriff zu erlangen.
