Sie möchten weitere Informationen zum Thema IT Security erhalten?
Dann nehmen Sie doch einfach Kontakt mit unseren Experten auf.
Nikolas Rösener
Security Expert
- cyber-security@ohb-ds.de
- 0421220950
Innerhalb einer Woche wurden zwei schwerwiegende Sicherheitslücken im Linux-Kernel veröffentlicht. Beide ermöglichen es einem Angreifer mit gewöhnlichem Benutzerkonto, sich auf einem Linux-System volle Administratorrechte zu verschaffen. Betroffen sind nahezu alle gängigen Distributionen seit 2017, darunter Ubuntu, Debian, RHEL, SUSE, Fedora sowie Rocky und Alma Linux.
Am 29. April 2026 hat das Forschungsteam von Xint Code die Schwachstelle „Copy Fail“ veröffentlicht. Der vollständige Angriff passt in 732 Byte Code und wurde unter anderem auf aktuellen Versionen von Ubuntu, RHEL, SUSE und Amazon Linux praktisch verifiziert.
Übliche Kernel-Schwachstellen sind in der Praxis schwer auszunutzen, weil sie auf enge Zeitfenster oder distributionsspezifische Anpassungen angewiesen sind. Copy Fail kennt diese Einschränkungen nicht. Der Angriff ist deterministisch, funktioniert also zuverlässig und ohne Zufallsfaktoren.
Technisch manipuliert die Lücke den Page-Cache, also den Bereich, in dem der Kernel Dateiinhalte im Arbeitsspeicher zwischenspeichert. Auf diese Weise lässt sich der Inhalt eines mit Administratorrechten ausgeführten Programms verändern. Zwei Eigenschaften machen das besonders unangenehm: Auf der Festplatte bleiben keine Spuren, weil nur der Arbeitsspeicher betroffen ist. Und weil der Page-Cache systemweit geteilt wird, kann ein kompromittierter Container in Cloud-Umgebungen den Host und damit auch andere Container übernehmen.
Erhöhten Handlungsdruck haben Sie bei Multi-User-Systemen und Jump-Hosts, bei Container- und Kubernetes-Plattformen, bei Build-Servern mit automatisierter Ausführung fremden Codes sowie bei Linux-Servern mit exponierten Webanwendungen.
An erster Stelle steht das Einspielen der seit Anfang Mai bereitgestellten Kernel-Updates. Ist das kurzfristig nicht möglich, kann das verantwortliche Kernelmodul deaktiviert werden, ohne dass verbreitete Komponenten wie Festplattenverschlüsselung, IPsec, SSH oder OpenSSL beeinträchtigt werden.
Nur eine Woche später, am 8. Mai 2026, folgte mit „Dirty Frag“ die nächste Schwachstelle. Sie ermöglicht einem Angreifer mit lokalem Zugriff, etwa über ein kompromittiertes SSH-Konto oder eine Web-Shell, ebenfalls die volle Kontrolle über das System.
Die Bedrohungslage ist hier deutlich angespannter: Microsoft beobachtet bereits aktive Angriffskampagnen, die Dirty Frag nach einem erfolgreichen Erstzugriff nutzen. Veröffentlichung und reale Ausnutzung erfolgen also parallel.
Dirty Frag reiht sich in die Familie der Page-Cache-Angriffe ein, zu der bereits Dirty Pipe (2022) und Copy Fail gehören. Das Besondere ist die Kombination zweier unabhängiger Lücken in unterschiedlichen Kernelmodulen. Dadurch funktioniert der Angriff selbst dann, wenn einzelne Schutzmaßnahmen gegen Copy Fail bereits umgesetzt wurden. Hinzu kommt: Der Angriff ist zuverlässig, hinterlässt keine Abstürze und damit kaum auffällige Spuren.
Eine lokale Rechteausweitung wirkt auf den ersten Blick weniger dramatisch als eine aus dem Internet erreichbare Schwachstelle. Tatsächlich ist sie das Bindeglied, das aus einem beherrschbaren Zwischenfall einen Totalschaden macht. Erst Administratorrechte erlauben es Angreifern, Sicherheitswerkzeuge zu deaktivieren, Logdateien zu manipulieren, Zugangsdaten auszulesen und sich dauerhaft im System einzunisten. Werden personenbezogene Daten verarbeitet, entsteht schnell eine meldepflichtige Datenschutzverletzung nach DSGVO mit den bekannten 72-Stunden-Fristen.
Solange offizielle Kernel-Patches nicht für alle Versionen bereitstehen, sollten Sie nicht auf den regulären Patch-Zyklus warten. Sinnvoll sind vier Schritte: betroffene Kernelmodule deaktivieren, soweit sie betrieblich nicht benötigt werden. Lokale Zugriffsmöglichkeiten prüfen und nicht mehr benötigte Konten stilllegen. Container-Härtung mit aktiven Sicherheitsprofilen sicherstellen. Und das Monitoring um Indikatoren für unerwartete Rechteausweitungen erweitern.
Copy Fail und Dirty Frag zeigen: Ein gepflegter Patch-Stand allein ist keine Garantie, wenn die zugrundeliegende Lücke jahrelang unbemerkt im Code schlummert. Schwachstellen gegen den Kernel selbst lassen sich nicht durch ein einzelnes Sicherheitsprodukt abfangen. Wirksam ist nur das Zusammenspiel aus aktuellem Patch-Stand, durchdachter Architektur, restriktiver Vergabe lokaler Zugriffe und einem Monitoring, das Anomalien tatsächlich bemerkt.
Falls Sie unsicher sind, wie weit ein Angreifer in Ihrer Umgebung tatsächlich käme, sprechen Sie uns gerne an. Wir helfen Ihnen die Sicherheitslücken einzuordnen, ggf. Gegenmaßnahmen durchzuführen und zeigen Ihnen wie Sie sich in Zukunft vor ähnlichen Angriffen schützen.
Mit unserem Newsletter bleiben Sie auf dem aktuellen Stand zu den wichtigsten Themen aus dem Bereich IT-Sicherheit.
Die Inhalte werden von unseren Cyber Security Experten speziell für Sie erstellt und ausgewählt.
You are currently viewing a placeholder content from Mailjet. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.
More InformationSie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen