Kernel-Schwachstelle

Linux-Sicherheitslücke bedroht Internet-User

11.08.2016
Von  und


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Katherine Noyes ist US-Korrespondentin des IDG News Service in Boston.
Eine neuentdeckte Sicherheitslücke macht Webserver angreifbar, die auf dem Linux-Kernel 3.6 aufsetzen. Damit sind potenziell alle Internet-User gefährdet - auch Sie.

Betroffen ist der Standard RFC-5961, der im Linux-Kernel ab Version 3.6 eingebaut wurde. In der aktuellen Version 4.7 besteht das Problem nicht mehr. Da aber zahlreiche Linux-Webserver, Android-Devices und Desktop-Distributionen nach wie vor die älteren Versionen verwenden, stellt die Schwachstelle eine ernsthafte Bedrohung für sehr viele Internet-Nutzer dar. Entdeckt wurde die Sicherheitslücke im Rahmen einer Forschungsarbeit an der University of California at Riverside (UCR), die auf der IT-Security-Konferenz Usenix vorgestellt werden soll.

TCP-Sicherheitslücke in Linux-Systemen

Die Schwachstelle erlaubt Cyberkriminellen und Hackern dann über das Transportprotokoll TCP, den kompletten Internetverkehr der Nutzer zu kontrollieren - und zwar per Remote-Zugriff. Cyber-Unholde könnten so beispielsweise gezielte Angriffe zur Überwachung der Online-Aktivitäten fahren, Kommunikationsinhalte verfälschen oder anonyme Netzwerke wie Tor durch erzwungene Umleitungen kompromittieren. Auch verschlüsselte https-Verbindungen sind betroffen: Sie könnten auf diesem Weg ferngesteuert unterbrochen werden.

Linux und andere Betriebssysteme nutzen TCP, um Datenpakete zu transferieren. Wenn zum Beispiel zwei Personen via E-Mail kommunizieren, verpackt TCP jede Nachricht in kleine Datenpakete, die übermittelt, empfangen und wieder zusammengesetzt werden. Jedes der Datenpakete wird dabei mit einer einzigartigen Ziffernfolge versehen. Dieser Zahlencode ist für Hacker durchaus interessant, kann normalerweise aber wegen der Unzahl an Kombinationsmöglichkeiten nicht einfach erraten werden. Zumindest unter normalen Umständen. Die subtile Sicherheitslücke, die die Forscher aufgedeckt haben, nutzt sogenannte "side channels" innerhalb der Linux-Software und ermöglicht Angreifern so, Rückschlüsse auf die TCP-Zahlencodes zu schließen. So ließe sich die Kommunikation zwischen zwei Parteien mit nicht viel mehr als deren IP-Adressen abgreifen. Das Angriffsmuster ist laut den Security-Forschern äußerst schnell und verlässlich: Rund eine Minute dauert ein solcher Angriff, die Erfolgsquote liegt bei 90 Prozent.

"Im Grunde kann diesen Angriff jeder durchführen"

"Das einzigartige an der Attacke die wir gezeigt haben", so Zhiyun Qian, Assistenz-Professor an der UCR, "sind die wirklich geringen Anforderungen, die zur Ausführung notwendig sind. Im Grunde kann diesen Angriff jeder durchführen, wenn der angreifende Rechner in einem Netzwerk sitzt, das IP-Spoofing erlaubt. Die einzige Information die Angreifer für den Hack benötigen, sind die IP-Adressen von Client und Server. Und die sind relativ einfach herauszufinden."

Qians Team hat die Linux-Community bereits über die Sicherheitslücke informiert - die nächste Linux-Version ist bereits gepatcht. Bis es soweit ist, empfiehlt Qian einen temporären Patch für Client- und Server-Hosts. Die vollständigen Ergebnisse der Untersuchungen sind bereits online veröffentlicht.

Neue TCP-Hijacking-Welle in Sicht?

Die Folgen einer solchen Sicherheitslücke schätzt auch Craig Young, Security-Experte bei Tripwire, als gravierend ein: "Eine side-channel-Attacke, die in der Lage ist, TCP-Sequenzen ‚vorherzusagen‘ ist ein ziemlich ernstes Problem", teilte er auf Anfrage per E-Mail mit. Eine Folge dieser Entwicklung, so Young, könnte das Wiedererstarken der in den 1990er Jahren populär gewordenen TCP-Hijacking-Angriffe begünstigen. Auch Ex-Hacker-König Kevin Mitnick gelangte in dieser Zeit mit Hijacking via TCP-Schwachstellen zu zweifelhaftem Ruhm.

Mit Material von IDG News Services.