Mastodon Mastodon Mastodon Mastodon

Bad Epoll: Lokale Privilegienerhöhung im Linux-Kernel durch use-after-free

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

In der epoll-Subsystem des Linux-Kernels wurde die Schwachstelle CVE-2026-46242 entdeckt, die den Namen Bad Epoll erhalten hat. Es handelt sich um einen use-after-free-Fehler, der einem lokalen, nicht privilegierten Benutzer ermöglicht, seine Rechte bis auf root zu erhöhen. Betroffen sind Kernel-Versionen 6.4 und neuer — Desktops, Server und, wie berichtet wird, Android. Ein öffentlicher Proof-of-Concept ist verfügbar, Anzeichen für eine Ausnutzung in realen Angriffen gibt es jedoch nicht. Die Schwachstelle ist nicht im CISA-KEV-Katalog aufgeführt. Ein Patch wurde bereits veröffentlicht — Administratoren sollten ihn unverzüglich einspielen.

Technische Details der Schwachstelle

Epoll ist ein Standardmechanismus des Linux-Kernels zur I/O-Multiplexierung, der von Webservern, Netzwerkdiensten und Browsern verwendet wird. Er kann nicht deaktiviert werden, sodass es keine praktikablen Workarounds gibt.

Nach Angaben des Forschers Jaeyoung Chung, der eine detaillierte technische Analyse veröffentlicht hat, besteht das Problem darin, dass zwei Bereinigungspfade im Kernel gleichzeitig auf dasselbe interne Objekt zugreifen. Ein Pfad gibt den Speicher frei, während der andere weiterhin Daten in diesen Speicher schreibt. Das ist eine klassische race condition, die zu einer Beschädigung des Kernel-Speichers und damit zur Möglichkeit einer Privilegienerhöhung führt.

Die vom Forscher beschriebenen zentralen technischen Eigenschaften:

  • Typ der Schwachstelle: use-after-free in der epoll-Subsystem
  • Angriffsvektor: lokal, erfordert keine besonderen Privilegien
  • Race-Window: nach Einschätzung des Forschers etwa sechs Maschineninstruktionen
  • Zuverlässigkeit des Exploits: laut Chung auf Testsystenen etwa 99%, basierend auf einer Technik zur Vergrößerung des Race-Fensters und wiederholten Versuchen ohne Systemabsturz
  • Betroffene Versionen: Linux-Kernel, gebaut auf Basis von 6.4 und neuer, sofern der Patch nicht eingebracht wurde
  • Nicht betroffene Versionen: Kernel auf Basis von 6.1, da der verwundbare Code erst mit 6.4 eingeführt wurde

Laut Forscher kann der Exploit vermutlich aus der Chrome-Renderer-Sandbox heraus ausgeführt werden, die die meisten anderen Kernel-Schwachstellen blockiert. Ein Exploit für Android befindet sich den Angaben zufolge in Entwicklung. Beide Aussagen stammen von einem einzelnen Forscher und sind bislang nicht unabhängig bestätigt.

Herkunft und Bezug zu KI-Forschung

Beide Schwachstellen — CVE-2026-46242 (Bad Epoll) und die damit verbundene CVE-2026-43074 — gehen auf eine einzige Codeänderung in epoll aus dem Jahr 2023 zurück. Nach Angaben von Chung wurde der erste der beiden Fehler (CVE-2026-43074) von der Mythos-Modellreihe von Anthropic entdeckt; der Fix dafür wurde bereits früher im Jahr 2026 veröffentlicht. Anthropic hat in einem Beitrag über die Entdeckung von Privilegienerhöhungs-Schwachstellen im Linux-Kernel durch seine Modelle berichtet, ohne Bad Epoll dabei jedoch ausdrücklich öffentlich zu benennen.

Die zweite Schwachstelle — das eigentliche Bad Epoll — wurde von der KI nicht gefunden. Chung nennt zwei mögliche Gründe: ein extrem enges Race-Window, das es erschwert, selbst bei der Codeanalyse die exakte Ereignisfolge zu modellieren, sowie das Fehlen klarer Signale zur Laufzeit — nach Behebung des ersten Fehlers wird die durch Bad Epoll verursachte Speicherkorruption in der Regel nicht mehr von KASAN (dem wichtigsten Kernel-Fehlerdetektor) erfasst.

Dieser Fall ist bezeichnend: Races gehören weiterhin zu den schwierigsten Fehlerklassen — sowohl für automatisierte als auch für manuelle Analysen.

Kontext: Welle von Linux-Kernel-Schwachstellen im Jahr 2026

Bad Epoll reiht sich in eine Serie von Privilegienerhöhungs-Schwachstellen im Linux-Kernel ein, die genutzt werden, um root auf Android zu erlangen: Bad Binder, Bad IO_uring, Bad Spin. Parallel dazu wurden im Jahr 2026 weitere schwerwiegende Kernel-Schwachstellen offengelegt — CVE-2026-31431 (Copy Fail) sowie die Exploit-Ketten Dirty Frag, Fragnesia, DirtyClone und pedit COW. Die meisten davon sind deterministische Schreibfehler im Page Cache, die keinen Gewinn einer Race Condition erfordern, was ihre Ausnutzbarkeit besonders zuverlässig macht.

Erwähnenswert ist außerdem CVE-2026-31694 — eine Schwachstelle im FUSE-Dateisystem-Code des Linux-Kernels, für die ebenfalls ein öffentlicher PoC verfügbar ist. Ein lokaler Benutzer mit FUSE-Zugriff kann ein bösartiges Dateisystem bereitstellen und so eine Speicherkorruption auslösen. Diese Schwachstelle stellt vor allem ein Risiko für Server und Container-Umgebungen dar, in denen der Zugriff auf FUSE über User-Namespaces gängige Praxis ist.

Auswirkungsanalyse

Am stärksten gefährdet sind:

  • Server mit Mehrbenutzerzugriff und Kerneln 6.4+, auf denen ein nicht privilegierter Benutzer vollständige Kontrolle erlangen kann
  • Container-Umgebungen, in denen ein Container-Escape über eine Kernel-Schwachstelle den gesamten Host kompromittiert
  • Android-Geräte mit Kerneln 6.4+ — obwohl ein Exploit für Android noch in Entwicklung ist, ist der Angriffsvektor prinzipiell anwendbar
  • Workstations, auf denen Schadcode, der im Kontext eines normalen Benutzers ausgeführt wird, seine Privilegien eskalieren kann

Das Vorhandensein eines öffentlichen PoC mit deklarierter hoher Zuverlässigkeit erhöht die Wahrscheinlichkeit, dass in absehbarer Zeit Exploits für reale Angriffe entwickelt werden.

Empfehlungen

  1. Patch einspielen. Installieren Sie den Upstream-Commit a6dc643c6931 oder warten Sie auf den Backport Ihres Distributors. Dies ist die einzige wirksame Maßnahme — Workarounds existieren nicht, da epoll nicht deaktiviert werden kann.
  2. Kernel-Version prüfen. Verwundbar sind Kernel 6.4 und neuer ohne Patch. Kernel auf Basis von 6.1 sind nicht betroffen.
  3. Lokalen Zugriff einschränken. Minimieren Sie bis zur Patch-Installation die Anzahl der Benutzer mit Shell-Zugriff auf kritischen Servern.
  4. Monitoring. Überwachen Sie auffällige epoll-Aufrufe und Versuche der Privilegienerhöhung. Beachten Sie, dass KASAN diese Schwachstelle nach dem Patch für CVE-2026-43074 möglicherweise nicht mehr zuverlässig erfasst.
  5. Priorität: hoch. Öffentlicher PoC mit hoher deklarierter Zuverlässigkeit, große Angriffsoberfläche, keine Workarounds.

Die Schwachstelle Bad Epoll ermöglicht eine lokale Privilegienerhöhung durch eine race condition in einer grundlegenden Kernel-Subsystem, die sich nicht deaktivieren lässt. Angesichts eines öffentlichen PoC und einer angegebenen Erfolgsquote von rund 99% besteht die einzig wirksame Gegenmaßnahme darin, den Kernel umgehend auf eine Version zu aktualisieren, die den Commit a6dc643c6931 enthält. Organisationen, die Kernel 6.4+ auf Servern, in Containern oder auf Android-Geräten einsetzen, sollten diesen Patch in ihren nächsten Update-Zyklus aufnehmen.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.