Microsoft-Mitarbeiter rettet versehentlich globalen Linux-Zusammenbruch
Dass Microsoft mittlerweile ein Herz für Linux hat, ist weitestgehend bekannt. Umso erfreulicher ist es, zu lesen, dass ein Microsoft-Mitarbeiter kürzlich zufällig eine gravierende Sicherheitslücke in Linux gefunden und geschlossen hat.
Ein Bericht dazu findet sich auf großen IT-Portalen, wie bspw.:
Microsoft hat heute seine Leitlinien und Hinweise zur XZ Utils-Backdoor-Schwachstelle veröffentlicht, die durch CVE-2024-3094 identifiziert wurde. Diese Sicherheitslücke ist ein schwerwiegender Fehler mit einem CVSS-Score (Common Vulnerability Scoring System) von 10,0 und betrifft mehrere Linux-Distributionen, nämlich Fedora, Kali Linux, OpenSUSE und Alpine, und hätte massive globale Auswirkungen haben können. Glücklicherweise wurde die Schwachstelle zufällig rechtzeitig von einem Microsoft Linux-Entwickler, Andres Freund, entdeckt, der neugierig war, warum es eine 500-ms-Verzögerung bei SSH-Portverbindungen (Secure Shell) gab, nur um eine bösartige Backdoor zu entdecken, die in den XZ-Dateikompressor eingebettet war. Bisher listet VirtusTotal zum Zeitpunkt des Schreibens nur vier von 63 Sicherheitsanbietern auf, darunter Microsoft, die den Exploit korrekt als schädlich erkennen. Daher muss die Adleraugen des Microsoft-Ingenieurs in diesem Fall gelobt werden, da es wahrscheinlich ist, dass sich viele nicht die Mühe gemacht hätten, der Sache nachzugehen. Der Vorfall zeigt auch, wie Open-Source-Software von böswilligen Akteuren ausgenutzt werden kann.
Falls Sie sich fragen: Die Versionen 5.6.0 und 5.6.1 von XZ Utils sind kompromittiert und die offizielle Empfehlung der U.S. Cybersecurity and Infrastructure Security Agency (CISA) lautet, ältere, sichere Versionen zu verwenden. Gemäß der empfohlenen Anleitung können Benutzer den folgenden Befehl in SSH mit Administratorrechten ausführen, um zu überprüfen, ob ein System über die anfällige Software verfügt:xz --version
Quelle: Microsoft employee accidentally saves global Linux meltdown from CVE-2024-3094 XZ backdoor – Neowin
Es sind auch Scan- und Erkennungstools von Drittanbietern verfügbar. Die Sicherheitsforschungsunternehmen Qualys und Binarly haben Erkennungs- und Scan-Tools veröffentlicht, mit denen Sie feststellen können, ob Ihr System betroffen ist. Qualys hat VULNSIGS Version 2.6.15-6 veröffentlicht und die Sicherheitslücke unter QID (Qualys Vulnerability Detection ID) „379548“ gekennzeichnet. In der Zwischenzeit hat Binarly auch einen kostenlosen XZ-Backdoor-Scanner veröffentlicht, der bei Erkennung einer kompromittierten Version von XZ Utils eine Erkennungsmeldung „XZ maliziöses Implantat“ ausgibt.
Also ich finde ja auch das WSL in Windows ja auch klasse!