Kritische Sicherheitslücke in Linux: io_uring ermöglicht Umgehung von Sicherheitstools durch Rootkits
ARMO-Forscher haben eine kritische Sicherheitslücke in der asynchronen E/A-Schnittstelle io_uring von Linux entdeckt, wodurch die meisten Runtime-Sicherheitstools, darunter Falco, Tetragon und Microsoft Defender, Rootkits, die diese Schnittstelle ausnutzen, nicht erkennen können. Angreifer können io_uring verwenden, um die Systemrufüberwachung zu umgehen und so verdeckte Operationen durchzuführen. Das von ARMO entwickelte Proof-of-Concept-Rootkit „Curing“ demonstriert die Schwere des Problems, indem es vollständig über io_uring läuft. Obwohl einige Anbieter auf die Sicherheitslücke reagiert haben, besteht weiterhin eine weit verbreitete Gefährdung. Die Forschung unterstreicht die Notwendigkeit für Sicherheitsanbieter, Mechanismen wie KRSI zur Verbesserung der Erkennungsmöglichkeiten zu implementieren.
Mehr lesen