Sicherheitsforscher haben eine Schwachstelle in Polkit entdeckt, die eine Rechteausweitung bis zum Root-Zugriff ermöglicht.
1. Was ist Polkit eigentlich genau?
Polkit ist ein im Hintergrund laufender Dienst, der die Berechtigungen zur Kommunikation von Software im Nutzer-Kontext regelt und vergleichbar mit der Windows-Benutzerkontensteuerung ist. Auf diese Weise können unprivilegierten Nutzern privilegierte Berechtigungen für die Nutzung von Systemkomponenten oder Programmen erteilt werden, ohne sie zu Administratoren zu machen. Polkit ist auf allen aktuellen Linux-Distributionen standardmäßig installiert.
2. Welche Probleme verursacht die Schwachstelle?
Die im November 2021 entdeckte und im Januar 2022 veröffentlichte Schwachstelle befindet sich im Befehl pkexec. Dieser Befehl ermöglicht es, dass sich ein Programm mit Rechten eines anderen Nutzers ausführen lässt. Anders als beim Befehl sudo beachtet pkexec hierbei allerdings die von Polkit festgelegten Regeln.
Durch die Sicherheitslücke in pkexec ist es nun möglich, dass ein unprivilegierter Nutzer seine lokalen Rechte ausweitet und somit Root-Rechte erhalten kann.
3. Wie können Administratoren diese Lücke schließen?
Für die meisten Linux-Distributionen wurden zwischenzeitlich Updates bereitgestellt, mit denen die Sicherheitslücke geschlossen werden kann. Auf den offiziellen Webseiten der Distributionen findet man dazu zahlreiche Informationen.
Als Workaround lässt sich zusätzlich kurzfristig mit dem Befehl chmod 0755 /usr/bin/pkexec das SUID-Bit von pkexec entfernen.
4. Wie ist die gefundene Schwachstelle zu beurteilen?
Für die in der CVE-2021-4034 beschriebene Schwachstelle wurde ein CVSS-Score von 7,8 (HIGH) errechnet. Das ist durchaus nachvollziehbar, da man als unprivilegierter Nutzer auf diese Weise sehr leicht an Root-Rechte gelangen kann.
Allerdings muss es einem Hacker bei einem Cyberangriff für die Ausnutzung zuvor gelingen, sich als unprivilegierter Nutzer an dem System zu authentifizieren. Wie kritisch die Schwachstelle nun für ein Unternehmen ist, hängt also auch immer von den dort herrschenden Gegebenheiten ab.
Was ist für Unternehmen und Organisationen jetzt besonders wichtig?
Informieren Sie sich regelmäßig über kritische Schwachstellen und Sicherheitslücken bei den von Ihnen genutzten Systemen.
Auf unserer Webseite bieten wir Ihnen den Heise-RSS-Feed „Security-Alert-Meldungen“, der schnell über aktuell festgestellte Schwachstellen informiert.
Gerne stehen wir Ihnen beratend und unterstützend zur Seite. Sprechen Sie uns hierzu gerne an. Bei Interesse beraten wir Sie und Ihr Unternehmen gerne rund um das Thema Sicherheit. Denn unsere Kunden profitieren bei der Identifizierung und Behebung solcher Schwachstellen durch unsere IT-Security-Spezialisten.