**CIFSwitch**: Eine neu entdeckte lokale Schwachstelle zur Eskalation von Privilegien im Linux-Kernel könnte es Angreifern ermöglichen, CIFS-Authentifizierungsschlüsselbeschreibungen zu fälschen, den Schlüsselanforderungsmechanismus des Kernels zu missbrauchen und Root-Privilegien zu erlangen. ### Die Schwachstelle Das Problem betrifft mehrere Linux-Distributionen, die anfällige Kombinationen des Kernel-CIFS und cifs-utils (Versionen 6.14 und höher, obwohl auch einige ältere Varianten betroffen sind) ausliefern. **CIFS** (Common Internet File System) ist ein Netzwerkprotokoll, das den Zugriff auf Dateien, Ordner und Geräte in einem lokalen Netzwerk ermöglicht. Linux verwendet es, um Daten von entfernten Systemen zu mounten, zu lesen und zu schreiben. Wenn eine CIFS-Netzwerkfreigabe Kerberos zur Authentifizierung verwendet, fordert der Linux-Kernel ein Hilfsprogramm im Userspace an, um die Authentifizierung durchzuführen, wobei die cifs-utils-Sammlung von Userspace-Tools als Vermittler dient. "Der Kernel fordert einen cifs.spnego-Typ-Schlüssel an, und die normale keyutils/request-key-Konfiguration führt cifs.upcall als Root aus, um das Kerberos/SPNEGO-Material abzurufen oder zu erstellen", erklärt **Asim Viladi Oglu Manizada**, ein **SpaceX**-Sicherheitsingenieur, der die CIFSwitch-Schwachstelle zur Eskalation von Privilegien in Linux entdeckt und benannt hat. Der Forscher sagt, dass das Problem darin besteht, dass das CIFS-Subsystem des Linux-Kernels nicht überprüft, ob cifs.spnego-Schlüsselanforderungen vom CIFS-Client des Kernels stammen. Infolgedessen kann ein nicht privilegierter Benutzer eine gefälschte cifs.spnego-Anforderung erstellen und den normalen Authentifizierungs-Workflow auslösen. Eine cifs.spnego-Schlüsselanforderung wird vom Linux-Keyring-Subsystem verwendet, um Authentifizierungsdaten zu erhalten, die vom CIFS/SMB-Client beim Verbinden mit einer Netzwerkfreigabe unter Verwendung von Kerberos/SPNEGO-Authentifizierung benötigt werden. Der Fehler ermöglicht es dem mit Root-Privilegien ausgestatteten cifs.upcall-Helfer, Angreifer-kontrollierte Felder zu vertrauen, die er vom Kernel generiert zu haben annimmt. Durch den Missbrauch dieser Felder, um einen Namespace-Wechsel zu erzwingen und dann eine Name Service Switch (**NSS**)-Abfrage auszulösen, bevor die Privilegien fallen gelassen werden, kann ein lokaler Angreifer ein bösartiges NSS-Modul laden und eine Root-Codeausführung erreichen. **Manizada** hat einen ausführlichen [technischen Bericht](https://heyitsas.im/posts/cifswitch/) veröffentlicht, der die Ursache des Problems und wie es zur Erlangung von Root-Privilegien ausgenutzt werden kann, erklärt. ### Auswirkungen, Behebungen und Ausnutzung Manizada sagt, dass CIFSwitch [vor 19 Jahren](https://github.com/torvalds/linux/blame/7ad785927d9eb348adb381d168ed73d0dd3c7670/fs/smb/client/cifs_spnego.c) im Jahr 2007 eingeführt wurde. Er fügt hinzu, dass es "nicht universell" sei und die Ausnutzung von mehreren Faktoren abhänge, wie z. B. einer anfälligen Kernel-Version. Weitere Voraussetzungen sind eine anfällige cifs-utils-Version, die Verfügbarkeit von User Namespaces und SELinux/AppArmor-Richtlinien, die den Angriff nicht blockieren. Einige Distributionen, die Manizada mit ihren Standardkonfigurationen als anfällig bestätigt, sind: * Linux Mint 21.3 / 22.3 * CentOS Stream 9 * Rocky Linux 9 * AlmaLinux 9 * Kali Linux 2021.4–2026.1 * SLES 15 SP7 Der Forscher bemerkte, dass verschiedene Ubuntu-, Debian-, Pop!_OS-, openSUSE-, Oracle Linux- und Amazon Linux-Versionen ebenfalls anfällig sein könnten, wenn 'cifs-utils' installiert ist. Es gibt jedoch auch Versionen wie Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 und openSUSE Leap 16, bei denen die Standard-SELinux/AppArmor-Einstellungen die Ausnutzung von CIFSwitch verhindern. Außerdem sind Amazon Linux 2 und Kali Linux 2019.4 und 2020.4 überhaupt nicht betroffen, da ihren cifs-utils-Versionen die Namespace-Switch-Funktionalität fehlt. CIFSwitch wurde durch einen Kernel-Patch behoben, der die Validierung von cifs.spnego-Anforderungsursprüngen hinzufügt (Upstream [Commit 3da1fdf](https://github.com/torvalds/linux/commit/3da1fdf4efbc490041eb4f836bf596201203f8f2)), aber die genauen Kernel-Versionen, die diesen Patch ausliefern, variieren je nach Distribution. Der Forscher empfiehlt Benutzern, das CIFS-Modul zu deaktivieren oder zu blockieren, falls es ungenutzt ist, das cifs-utils-Paket zu entfernen, falls es nicht benötigt wird, und unprivilegierte User Namespaces zu deaktivieren. Manizada hat einen Proof-of-Concept (PoC) [Exploit für CIFSwitch](http://github.com/manizada/CIFSwitch) veröffentlicht, der Organisationen helfen kann, die Wirksamkeit der angewendeten Patches und Gegenmaßnahmen zu validieren. CIFSwitch ist die neueste in einer Reihe von Schwachstellen zur Erhöhung von Privilegien, die Linux-Systeme betreffen und kürzlich bekannt gegeben wurden, darunter '[Copy Fail](https://www.bleepingcomputer.com/news/security/new-linux-copy-fail-flaw-gives-hackers-root-on-major-distros/),' '[Dirty Frag](https://www.bleepingcomputer.com/news/security/new-linux-dirty-frag-zero-day-with-poc-exploit-gives-root-privileges/),' '[Fragnesia](https://www.bleepingcomputer.com/news/security/new-fragnesia-linux-flaw-lets-attackers-gain-root-privileges/),' '[DirtyDecrypt](https://www.bleepingcomputer.com/news/security/exploit-available-for-new-dirtydecrypt-linux-root-escalation-flaw/),' und '[PinTheft](https://www.bleepingcomputer.com/news/linux/exploit-released-for-new-pintheft-arch-linux-root-escalation-flaw/).'  ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold. This guide covers the 6 surfaces you actually need to validate. [Download Now](https://hubs.li/Q048zztN0)