Linux-Kernel-Lücke „Copy Fail“: 100-prozentiger Root-Zugriff auf fast alle Distributionen

Die US-Behörde CISA hat eine kritische Schwachstelle im Linux-Kernel in ihre Liste bekannter Sicherheitslücken aufgenommen – mit dramatischen Folgen: Ein 732 Bytes kleines Python-Skript reicht aus, um auf nahezu jeder Linux-Distribution seit 2017 volle Root-Rechte zu erlangen.

Die als CVE-2026-31431 registrierte und unter dem Namen „Copy Fail“ bekannte Sicherheitslücke hat die Cybersicherheitsbranche in Alarmbereitschaft versetzt. Grund ist nicht nur ihre enorme Reichweite, sondern vor allem die Tatsache, dass ein öffentlich verfügbarer Exploit existiert, der zu 100 Prozent zuverlässig funktioniert. Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat den Fehler Anfang Mai 2026 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen.

Während professionelle Anwender Patches einspielen müssen, suchen viele Privatanwender nach einer stabilen und wartungsarmen System-Alternative. Mit dem kostenlosen Linux-Startpaket inklusive Ubuntu-Vollversion gelingt der Umstieg besonders sicher und ohne Lizenzkosten. Jetzt kostenloses Linux-Startpaket inkl. Ubuntu sichern

Für Bundesbehörden in den USA gilt nun eine zweiwöchige Frist, um Patches einzuspielen oder die Systeme abzusichern – eine Vorgabe, die Experten auch der Privatwirtschaft dringend empfehlen. Branchenkenner sprechen von einem „Patch-right-now“-Notfall, da die Lücke nicht mehr nur theoretischer Natur ist, sondern aktiv ausgenutzt wird.

Wie „Copy Fail“ funktioniert – und warum es so gefährlich ist

Die Schwachstelle sitzt im algif_aead-Modul des Linux-Kernels, einer kryptografischen Schnittstelle. Das Forschungsteam von Theori hat nachgewiesen, dass ein nicht privilegierter lokaler Benutzer den Kernel dazu bringen kann, vier kontrollierte Bytes direkt in den Page-Cache zu schreiben – den gemeinsamen Arbeitsspeicher für Dateien auf dem System.

Das Besondere: Der Exploit ist deterministisch. Anders als viele Speicherlücken, die komplexe Angriffsketten erfordern, funktioniert „Copy Fail“ mit 100-prozentiger Zuverlässigkeit. Da der Angriff den RAM manipuliert und nicht die Dateien auf der Festplatte, bleiben herkömmliche Sicherheitsmaßnahmen blind. Dateien wie /usr/bin/su oder /usr/bin/sudo können im Arbeitsspeicher verändert werden, ohne dass die zugrunde liegenden Binärdateien angetastet werden. Checksummen-basierte Abwehrsysteme und File-Integrity-Monitoring erkennen den Angriff nicht.

Für Sicherheitsexperten ist das ein Albtraum-Szenario: Der Sprung von einem niedrig privilegierten Container oder Benutzerkonto zur vollen Root-Kontrolle erfolgt augenblicklich und hinterlässt keine unmittelbaren Spuren auf der Festplatte. Herkömmliche Endpoint-Detection-Systeme haben kaum eine Chance, den Angriff in Echtzeit zu erkennen.

Betroffene Systeme: Von Ubuntu bis Red Hat

Die Reichweite von CVE-2026-31431 ist enorm. Betroffen sind praktisch alle gängigen Linux-Distributionen der letzten neun Jahre, darunter:

• Ubuntu 24.04 LTS
• Amazon Linux 2023
• Red Hat Enterprise Linux (RHEL) 10.1
• SUSE 16

Besonders alarmierend: Der Exploit-Code funktioniert ohne Anpassungen auf allen diesen Systemen. Das senkt die Einstiegshürde für Angreifer drastisch.

In modernen Infrastrukturen wie Kubernetes- und Docker-Umgebungen ist die Gefahr besonders akut. Da Container den zugrunde liegenden Host-Kernel teilen, kann ein einziger kompromittierter Container den Page-Cache des Hosts vergiften. Die Container-Isolation wird damit aufgehoben – der Angreifer erlangt Root-Zugriff auf den physischen Knoten und damit auf alle anderen Workloads.

Wer die Vorteile eines modernen Betriebssystems wie Ubuntu ohne Risiko für das bestehende System testen möchte, kann dies ganz einfach per USB-Stick tun. Ein kompakter Experten-Guide erklärt Schritt für Schritt, wie Sie Linux direkt starten, ohne Ihre Festplatte zu verändern. Kostenlosen PDF-Report zum Ubuntu-Boot-Stick herunterladen

Betroffen sind auch CI/CD-Pipelines, Build-Systeme und Entwicklungswerkzeuge, bei denen Codeausführung oft ein gewünschtes Feature ist. In solchen Umgebungen kann ein Angreifer mit einem kleinen Stück Schadcode die gesamte Infrastruktur kompromittieren.

Die Reaktion der Industrie

Die Linux-Anbieter haben schnell reagiert und Kernel-Updates bereitgestellt. CISAs Entscheidung, den Fehler in den KEV-Katalog aufzunehmen, spiegelt die unmittelbare Bedrohung durch die Veröffentlichung des Proof-of-Concept-Codes wider.

Ryan McCurdy von Liquibase betont, dass die Aufnahme in den KEV-Katalog ein formelles Signal sei: Der Exploit werde nicht nur im Labor, sondern in aktiven Kampagnen eingesetzt. David Brumley von Bugcrowd weist darauf hin, dass die Zuverlässigkeit des Exploits ihn zu einem primären Ziel für Ransomware-Gruppen und staatlich geförderte Akteure mache. James Wickett von DryRun Security hebt hervor, dass die Unsichtbarkeit des Angriffs für traditionelle Erkennungstools eine proaktive Patch-Strategie erfordere – reaktives Alarm-Monitoring reiche nicht mehr aus.

Unternehmen wird dringend empfohlen, die Kernel-Versionen auf allen öffentlich erreichbaren Servern und internen Shared-Infrastrukturen zu aktualisieren. Für Umgebungen, in denen sofortige Neustarts schwierig sind, bieten einige Anbieter Live-Patching-Optionen an – vollständige Kernel-Updates bleiben jedoch die empfohlene Lösung.

Ein Weckruf für die Branche

Die „Copy Fail“-Lücke kommt zu einer Zeit, in der die Linux-Community eigentlich Grund zum Feiern hätte: Erst kürzlich wurde Linux 7.0 veröffentlicht, das Unterstützung für nächste Generationen von Hardware wie Intel Nova Lake und AMD Zen 6 bietet. Die Schwachstelle in einem Kernmodul wie algif_aead zeigt jedoch, wie herausfordernd die Sicherheit einer jahrzehntealten Codebasis bleibt.

Der Vorfall reiht sich ein in eine Serie schwerwiegender Sicherheitslücken der letzten Monate. Ende April hatte CISA unter anderem Path-Traversal-Fehler in SimpleHelp und ConnectWise ScreenConnect sowie kritische Buffer-Overflows in Netzwerkbetriebssystemen wie ArubaOS in seinen Katalog aufgenommen. Die Botschaft ist klar: Angreifer und Forscher fokussieren sich zunehmend auf die grundlegenden Schichten des Technologie-Stacks – die Betriebssystem-Kernel und Netzwerk-Gateways.

Für die Cybersicherheitsbranche ist „Copy Fail“ ein Weckruf. Die Zeit zwischen der Offenlegung einer kritischen Schwachstelle und ihrer aktiven Ausnutzung ist auf nahezu Null geschrumpft. Organisationen, die nicht auf automatisierte Patch-Verwaltung und „Zero-Trust“-Kernel-Schutz setzen, werden zunehmend verwundbar sein.

de | wissenschaft | 69278474 |