PinTheft-Schwachstelle

Neun Jahre alte Linux-Schwachstelle ermöglicht Root-Zugriff

Ubuntu
Bildquelle: DANIEL CONSTANTE / Shutterstock.com
LinkedInRedditWhatsApp

Eine neu entdeckte Sicherheitslücke im Linux-Kernel gefährdet Systeme wie Debian, Ubuntu und Fedora. Lokale Angreifer können Root-Rechte erlangen.

Sicherheitsanalysten des IT-Sicherheitsunternehmens Qualys haben eine schwerwiegende Schwachstelle im Linux-Kernel offengelegt, die über einen Zeitraum von neun Jahren unentdeckt blieb. Die Sicherheitslücke wird unter der Kennung CVE-2026-46333 geführt und weist einen CVSS-Wert von 5.5 auf. Trotz der moderaten Einstufung auf der Schweregradskala birgt der Fehler erhebliche Risiken für die Integrität von Betriebssystemen, da er eine zuverlässige Ausweitung von lokalen Benutzerrechten erlaubt. Die unter dem Codenamen ssh-keysign-pwn bekannte Schwachstelle ermöglicht es lokalen Nutzern ohne administrative Privilegien, vertrauliche Systemdateien auszulesen und beliebige Befehle mit den höchsten Systemrechten auszuführen. Betroffen sind Standardinstallationen mehrerer großer und weit verbreiteter Linux-Distributionen, darunter Debian, Fedora und Ubuntu.

Anzeige

Ursache in der Ptrace-Funktion

Der Ursprung des Fehlers liegt tief in der Architektur des Linux-Kernels verankert. Nach den technischen Analysen von Qualys wurde die fehlerhafte Implementierung bereits im November 2016 in den offiziellen Quellcode des Kernels eingeführt. Konkret betrifft das Problem die Kernel-Funktion mit der Bezeichnung __ptrace_may_access(). Diese Funktion ist im regulären Betrieb für die Überprüfung der Zugriffsrechte zuständig, wenn ein Prozess versucht, einen anderen Prozess mittels ptrace zu überwachen oder zu einzugreifen.

Durch ein fehlerhaftes Privilegien-Management validiert die Funktion die Berechtigungen in bestimmten Szenarien unzureichend. Saeed Abbasi, Senior Manager der Threat Research Unit bei Qualys, erklärte hierzu, dass dieser Mechanismus äußerst verlässlich funktioniere und jede lokale Eingabeaufforderung in einen direkten Pfad zu administrativen Root-Rechten oder zu vertraulichem Berechtigungsmaterial verwandeln könne. Die Verwundbarkeit reiht sich in eine Serie von kürzlich entdeckten Kernel-Schwachstellen wie Copy Fail, Dirty Frag und Fragnesia ein, die die Linux-Infrastruktur in den vergangenen Wochen belastet haben.

Unbefugter Zugriff auf private Schlüssel des SSH-Dienstes möglich

Die erfolgreiche Ausnutzung von CVE-2026-46333 eröffnet Angreifern den Zugriff auf sensible Systembereiche, die im Normalbetrieb streng geschützt sind. Ein lokaler Angreifer ist in der Lage, den Inhalt der Datei /etc/shadow auszulesen, in der die kryptografischen Passwort-Hashes der Systembenutzer gespeichert sind. Darüber hinaus ermöglicht die Lücke den unbefugten Zugriff auf die privaten Schlüssel des SSH-Dienstes unter dem Pfad /etc/ssh/*_key. Mit diesen Schlüsseln können Angreifer die Identität des Servers im Netzwerk manipulieren oder verschlüsselten Datenverkehr entschlüsseln.

Anzeige

Für die praktische Umsetzung der Rechteausweitung existieren bereits vorformulierte Angriffswege. Diese zielen gezielt auf etablierte Systemwerkzeuge und Dienste ab, die standardmäßig mit erweiterten Rechten ausgeführt werden. Zu den betroffenen Systemkomponenten gehören das Werkzeug chage zur Verwaltung von Passwort-Ablauffristen, die SSH-Komponente ssh-keysign, das Autorisierungswerkzeug pkexec sowie der Hintergrunddienst accounts-daemon. Die Veröffentlichung der technischen Details folgt auf die Bereitstellung eines Proof-of-Concept-Exploits in der vergangenen Woche, nachdem zuvor ein öffentlicher Eintrag im Kernel-Entwicklungsarchiv aufgetaucht war.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Empfohlene Sicherheitsmaßnahmen und temporäre Workarounds

Da der funktionierende Schadcode im Internet frei verfügbar ist, wird IT-Verantwortlichen dringend empfohlen, die von den jeweiligen Linux-Distributionen bereitgestellten Kernel-Updates unverzüglich einzuspielen. In Produktionsumgebungen, in denen ein sofortiger Neustart des Systems oder eine Aktualisierung des Kernels aus betrieblichen Gründen nicht realisierbar ist, lässt sich ein temporärer Schutzmechanismus über die Systemeinstellungen einrichten. Administratoren können den Kernel-Parameter kernel.yama.ptrace_scope manuell auf den Wert 2 anheben. Diese Maßnahme schränkt die Nutzung der ptrace-Funktion systemweit ein und blockiert damit den primären Angriffsvektor der Sicherheitslücke.

Qualys weist zudem darauf hin, dass auf Systemen, auf denen während des neunjährigen Verwundbarkeitsfensters nicht vertrauenswürdige lokale Benutzer aktiv waren, von einer potenziellen Kompromittierung ausgegangen werden sollte. In solchen Fällen ist es notwendig, die SSH-Hostschlüssel vollständig zu rotieren, lokal zwischengespeicherte Anmeldedaten zu erneuern und alle administrativen Daten zu überprüfen, die sich im Arbeitsspeicher von Prozessen mit gesetztem Set-UID-Bit befunden haben.

PinTheft-Schwachstelle im Arch-Linux-System

Parallel zu den Vorfällen rund um die allgemeinen Linux-Distributionen dokumentierten Sicherheitsforscher von Zellic und dem V12-Sicherheitsteam eine spezifische Sicherheitslücke unter dem Namen PinTheft, die primär Installationen von Arch Linux betrifft. Auch dieser Fehler ermöglicht eine lokale Ausweitung der Benutzerrechte auf Root-Ebene, erfordert jedoch eine spezifische Kombination von Systemvoraussetzungen. Für eine erfolgreiche Ausnutzung muss das Kernel-Modul Reliable Datagram Sockets, kurz RDS, auf dem Zielsystem geladen sein. Zudem müssen die asynchrone E/A-Schnittstelle io_uring aktiviert, eine lesbare ausführbare Datei mit SUID-Root-Rechten vorhanden sowie die x86_64-Prozessorarchitektur für die Ausführung der Schadladung gegeben sein.

„PinTheft ist ein Exploit zur lokalen Rechteausweitung unter Linux für einen Double-Free-Fehler bei RDS-Zerocopy, der durch feste Puffer von io_uring in ein Überschreiben des Page-Caches verwandelt werden kann. Der Fehler befand sich im RDS-Zerocopy-Sendepfad. rds_message_zcopy_from_user() pinnt Benutzerseiten einzeln nacheinander. Wenn eine spätere Seite einen Seitenfehler verursacht, verwirft der Fehlerpfad die Seiten, die er bereits gepinnt hat, und die spätere Bereinigung der RDS-Nachricht verwirft sie erneut, da die Scatterlist-Einträge und die Anzahl der Einträge aktiv bleiben, nachdem der Zerocopy-Notifier gelöscht wurde. Jedes fehlgeschlagene Senden per Zerocopy kann eine Referenz von der ersten Seite stehlen.“

Entwicklerteam von Zellic und V12


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Cyber Attack, Cyberangriffe Produktion, Produktion, OT-Sicherheit, Fertigung, Cyberangriffe Fertigung, Cyberangriffe Maschinen, Cyberangriffe auf Produktionsanlagen statt Server, Cyberangriff, Cybercrime
10. Juni 2026
Wenn die Produktion stillsteht: Warum Cyberangriffe zunehmend Maschinen statt Server treffen
Notebook
9. Juni 2026
Hersteller verbauen wieder 8 Gigabyte RAM in Laptops
KI-Agenten, microsoft ki, microsoft ki agenten, microsoft copilot, Microsoft
9. Juni 2026
Microsoft startet Intelligent Terminal: KI direkt in der Kommandozeile
Java
9. Juni 2026
Entwickler von Java schleust Prompt-Injection in open-source Bibliothek ein

Weitere Artikel

Microsoft startet Intelligent Terminal: KI direkt in der Kommandozeile
Entwickler von Java schleust Prompt-Injection in open-source Bibliothek ein
Deutsche Polizeibehörden nutzen kommerzielle Werbedaten für Ermittlungen
Deutsche Telekom und Palo Alto Networks bieten Datensouveränität für Europa
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.