Auf den Punkt: Eine 19 Jahre alte Validierungslücke im CIFS-Kernel-Subsystem ermöglicht lokale Angreifer, Root-Rechte durch gefälschte Authentifizierungsanforderungen und NSS-Bibliotheken-Manipulation zu erlangen.
Eine neu entdeckte Sicherheitslücke im Linux-Kernel namens CIFSwitch ermöglicht es lokalen, unprivilegierten Benutzern, Root-Rechte zu erlangen. Die Schwachstelle betrifft das CIFS-Subsystem (Common Internet File System) und wurde von Sicherheitsingenieur Asim Viladi Oglu Manizada von SpaceX identifiziert.
CIFSwitch nutzt eine Validierungslücke im CIFS-Protokoll des Linux-Kernels aus, das für das Mounten von Netzwerkfreigaben und deren Verwaltung zentral ist. Das Problem entsteht durch eine fehlerhafte Kombination zwischen dem Kernel-eigenen CIFS-Subsystem und den cifs-utils in den Versionen 6.14 und höher; auch ältere Verzweigungen können unter bestimmten Bedingungen anfällig sein.
Der Angriffsvektor exploitiert den Authentifizierungsprozess für Kerberos-geschützte Netzwerkfreigaben. Wenn ein Linux-System sich mit einer solchen Freigabe verbindet, delegiert der Kernel die Authentifizierung an das Hilfsprogramm cifs.upcall, das mit Root-Privilegien läuft. Der fundamentale Fehler besteht darin, dass der Kernel niemals verifiziert, ob die Anforderung eines cifs.spnego-Schlüssels tatsächlich vom legitimen CIFS-Client stammt. Ein lokaler Angreifer kann eine gefälschte Anforderung erzeugen und damit den Authentifizierungs-Workflow manipulieren.
Das cifs.upcall-Programm vertraut den vom Angreifer kontrollierten Datenfeldern, da es fälschlicherweise annimmt, der Kernel habe diese bereits validiert. Durch gezielte Manipulation dieser Felder kann ein Angreifer das Programm zwingen, einen Namespace-Wechsel durchzuführen. Bevor die Root-Privilegien wieder entzogen werden, initiiert dieser manipulierte Ablauf eine Abfrage über das Name Service Switch-System (NSS). Da sich das Programm dann in einem vom Angreifer kontrollierten Namensraum befindet, wird eine präparierte NSS-Bibliothek geladen, die beliebigen Code mit Root-Rechten ausführt.
Nach Angaben des Entdeckers wurde der Fehler bereits 2007 in den Kernel-Quellcode eingeführt und blieb etwa 19 Jahre lang unbemerkt. Die Ausnutzung ist nicht universell, sondern erfordert spezifische Bedingungen: eine anfällige Kernel-Version, entsprechende cifs-utils, aktivierte unprivilegierte Benutzernamensräume und keine strikten Sicherheitsrichtlinien (AppArmor, SELinux). Betroffene Distributionen sind unter anderem Linux Mint, CentOS Stream, Rocky Linux, AlmaLinux und Kali Linux.
Quelle: www.it-daily.net · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.