Linux io_uring: Ein blinder Fleck für Antivirenprogramme?
Das Sicherheitsunternehmen ARMO hat eine Schwachstelle in der io_uring-Schnittstelle von Linux aufgedeckt, die es Malware ermöglicht, die Erkennung durch einige Antivirenprogramme und Endpoint-Protection-Tools zu umgehen. io_uring ermöglicht es Anwendungen, E/A-Operationen ohne traditionelle Systemaufrufe durchzuführen und so die systemcall-basierte Überwachung zu umgehen. Der Proof-of-Concept von ARMO, Curing, konnte die Erkennung von Falco, Tetragon und Microsoft Defender in den Standardeinstellungen erfolgreich umgehen. Diese Schwachstelle könnte Zehntausende von Linux-Servern betreffen. Während Anbieter das Problem anerkennen und an Lösungen arbeiten, hat Google io_uring bereits in ChromeOS und Android deaktiviert oder eingeschränkt, nachdem erhebliche Bug-Bounty-Zahlungen im Zusammenhang mit io_uring-Schwachstellen geleistet wurden.