Ein neuer Nulltag in Linux, getauft als Dirty Frag, ermöglicht es einem lokalen Angreifer, Privilegien zu klettern, in den meisten Distributionen mit einer einzigen Bestellung zu verwurzeln, nach Forscher Hyunwoo Kim, der sowohl Dokumentation als auch ein PoC veröffentlicht hat, nachdem das Embargo gebrochen wurde. Die Operation-Kette zwei separate Kernelausfälle (bezogen auf xfrm-ESP und RxRPC), um geschützte Speicherseiten zu überschreiben und Systemdateien ohne Autorisierung zu modifizieren; im Gegensatz zu früheren Ausfällen wie Dirty Pipe oder Copy Fail nutzt dieser Angriff ein anderes Fragmentierungsfeld in der Kernel-Logik, was es neu und gefährlich macht.
Die praktische Schwerkraft ist hoch Weil Dirty Frag ein Misserfolg der deterministischen Logik ist: Es erfordert keine komplexen Karrierebedingungen, es verursacht nicht, Kernel Panik zu scheitern und PoC eine sehr hohe Erfolgsquote. Obwohl der Angriff einen lokalen Zugang erfordert, wandelt sich dieser in Multi-User-Umgebungen, Maschinen mit exponierten Entwicklungskonten, schlecht isolierte Container und Cloud-Umgebungen, die in hochrisikoreichen Zielen geteilt werden. Darüber hinaus verstärkt die öffentliche Veröffentlichung der Explosion vor Patches das Ausstellungsfenster.
Bisher gibt es keine offizielle CVE für diese Verwundbarkeit, weil das Embargo gebrochen wurde; die ursprünglichen Informationen und die Ressourcen des Autors sind im Openwall communiqué und im Repository mit dem PoC verfügbar: Offene Daten und Dirty Frag Repository in GitHub. Diejenigen, die die Infrastruktur verwalten, müssen den Hinweisen der Dienstleister in ihrer Verteilung genau folgen und bereit sein, Kernel-Patches anzuwenden, sobald sie veröffentlicht werden.
Als sofortige Minderung schlagen die Autoren vor, gefährdete Module (s4, s6 und rxrpc) zu blockieren und herunterzuladen. Der vorgeschlagene Befehl, eine Modsonde-Regel zu erstellen, die ihr Laden verhindert und Hotloaded-Module zu entfernen ist: sh -c "printf 'install es4 / bin / false\ ninstall es6 / bin / false\ ninstall rxrpc / bin / false / n' > / etc / modson.d / dirtyfrag.conf; rmmod es4 es6 rxrpc 2 > / dev / null; true; true; true; true; true; true." Achtung: Diese Maßnahme deaktiviert IPsec und AFS; sie sollte nicht angewendet werden, ohne die Auswirkungen auf VPNs und abhängige Dienste zu beurteilen.
Während eine offizielle Korrektur erwartet wird, sollten zusätzliche Risikominderungsmaßnahmen getroffen werden: Einschränkung des lokalen Zugangs zu kritischen Systemen, unnötiger interaktiver Zugang, Stärkung der Politik für die Isolation von Containern und virtuellen Maschinen und Überwachung von Eskalationszeichen (unerwartete Prozesse mit UID 0, ungewöhnliche Änderungen in / etc, dynamische Belastung von Modulen). Response-Teams sollten Verfahren für die Isolierung und Neuinstallation von engagierten Systemen vorbereiten, anstatt sie vor Ort zu reparieren.
Es ist auch wichtig, sich an die Beziehung mit den jüngsten Vorfällen zu erinnern: Die Betreuer setzen immer noch Patches für Copy Fail und andere Privileg Klettern Fehler, die in den letzten Monaten erschienen sind. Die US Cyber Security Agency. U.S. (CISA) priorisiert diese Schwachstellen in seinem Katalog ausgenutzter Schwachstellen; Bundesorganisationen wurden aufgefordert, Copy Fail schnell zu mindern. Siehe die offizielle CISA-Seite für Nachfolge- und Auftragsabwicklungen: CISA KEV Katalog.
Aus einer mittelfristigen Verteidigungsperspektive ist es angebracht, die Eindämmungskontrollen zu stärken: SELinux / AppArmor-Richtlinien aktivieren und überprüfen, Namensraumisolation und Workloads cgroups anwenden, Dateiintegritätskontrollmechanismen und EDR verwenden, die das Kletterverhalten erkennen und Alarme für Lasten oder die Handhabung von Kernelmodulen vorbereiten. Planen Sie aktuelle Kernel-Einsätze in kontrollierten Fenstern und versuchen Sie vollständige Restaurationen, um eine saubere Abhilfe bei Engagement zu gewährleisten.
Für Cloud-Manager und Managed-Lieferanten ist die sofortige Empfehlung, mit Image- und Service-Anbietern zu koordinieren, um die Auswirkungen auf die gemeinsame Infrastruktur zu kennen und eine Minderung und Parkprüfung zu verlangen. Angesichts des lokalen Betriebsmusters und der Leichtigkeit des PoC, das Risikofenster ist konkret und kurz: schnelle und koordinierte Maßnahmen verringern die Wahrscheinlichkeit massiver Verpflichtungen.
Schließlich halten Sie Off-line Kopien von kritischen Audit-Elementen und Schlüsseln, rote Anmeldeinformationen von privilegierten Konten nach verdächtigen Aktivitäten und abonnieren Sie die offiziellen Sicherheitslisten und Kanäle ihrer Verteilung, um Patch-Updates zu erhalten, sobald sie verfügbar sind; die Kombination von temporärer Minderung, aktiver Erkennung und zeitnaher Patch ist die einzige praktische Strategie, um Verwundbarkeit mit den Eigenschaften von Dirty Frag zu neutralisieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...