Kritische Kernel-Schwachstelle: Fehler in „ksmbd“ ermöglicht Remote-Code-Ausführung

Im Linux-Kernel ist eine schwerwiegende Sicherheitslücke in der Dateifreigabekomponente ksmbd geschlossen worden. Die Schwachstelle, erfasst als CVE-2025-38561, erlaubt Angreifern unter bestimmten Bedingungen die Ausführung von beliebigem Code mit Kernel-Rechten.

Betroffen sind Linux-Distributionen, die die SMB-Server-Implementierung ksmbd enthalten. Zwar ist eine Authentifizierung erforderlich, dennoch kann ein erfolgreicher Angriff die vollständige Übernahme des Systems ermöglichen.

Technische Details

Ursache des Problems ist eine Race Condition im Umgang mit dem Feld Preauth_HashValue während des SMB2-Sitzungsaufbaus. Das Modul versäumt es, Zugriffe auf dieses Feld korrekt zu sperren. Dadurch können mehrere Threads gleichzeitig auf denselben Speicherbereich zugreifen und ihn verändern. Laut ZDI führt dieser nicht synchronisierte Zugriff zu Speicherbeschädigungen, die sich zur Ausführung von Code im Kernel-Kontext ausnutzen lassen.

Die Lücke wurde am 22. Juli 2025 privat gemeldet und am 24. September 2025 nach koordinierten Sicherheitshinweisen veröffentlicht. Der CVSS-Score liegt bei 8,5, was die Schwere des Problems unterstreicht: Netzwerkangriffe sind möglich, erfordern nur geringe Berechtigungen, benötigen keine Benutzerinteraktion und führen zu einer vollständigen Gefährdung von Vertraulichkeit, Integrität und Verfügbarkeit.

Betroffene Systeme

• ksmbd-SMB2-Servermodul im Linux-Kernel

• Alle Distributionen oder Builds, die die verwundbaren Kernel-Versionen einsetzen

Empfohlene Maßnahmen

Die Kernel-Maintainer haben einen Patch bereitgestellt, der die Race Condition durch eine korrekte Synchronisierung beseitigt. Administratoren sollten:

• Systeme mit anfälligen Kernel-Versionen identifizieren

• Die aktuellen Sicherheitsupdates der Distribution oder des stabilen Kernel-Zweigs einspielen

• Die betroffenen Hosts neu starten, um den Patch wirksam zu machen

• Die Exponierung von SMB-Servern prüfen und gegebenenfalls durch Netzwerksegmentierung einschränken

Es existiert keine alternative Abhilfe – einzig das Einspielen der Updates schützt vor Angriffen. Eine Verzögerung erhöht das Risiko, dass kritische Systeme kompromittiert werden.

Die Entdeckung der Schwachstelle wird Nicholas Zubrisky (Trend Research) zugeschrieben, der die Lücke verantwortungsvoll offengelegt hat.

WEITERE DETAILS

Linux hat ein Update veröffentlicht, um diese Sicherheitslücke zu beheben. Weitere Details finden Sie unter:

https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=44a3059c4c8cc635a1fb2afd692d0730ca1ba4b6

ZEITPLAN DER OFFENLEGUNG

• 22.07.2025 – Sicherheitslücke dem Anbieter gemeldet
• 24.09.2025 – Koordinierte Veröffentlichung der Sicherheitsempfehlung
• 24.09.2025 – Sicherheitsempfehlung aktualisiert

Auch interessant für Sie

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky