Microsoft-Mitarbeiter rettet versehentlich globalen Linux-Zusammenbruch durch CVE-2024-3094 XZ-Backdoor

Heute hat Microsoft seine Leitlinien und Hinweise zur XZ Utils-Backdoor-Sicherheitslücke veröffentlicht, die als CVE-2024-3094 identifiziert wurde. Diese Sicherheitslücke hat einen CVSS-Score von 10,0 und kann sich auf eine Reihe von Linux-Distributionen auswirken, darunter Fedora, Kali Linux, OpenSUSE und Alpine, und weltweit erhebliche Folgen haben.

Glücklicherweise stieß Andres Freund, ein Microsoft Linux-Entwickler, gerade noch rechtzeitig auf die Sicherheitslücke. Er war neugierig geworden über die 500 ms Verzögerung bei SSH-Portverbindungen (Secure Shell) und beschloss, der Sache weiter nachzugehen. Dabei entdeckte er schließlich eine bösartige Hintertür, die im XZ-Dateikompressor versteckt war.

Zum aktuellen Zeitpunkt hat VirtusTotal lediglich vier von insgesamt 63 Sicherheitsanbietern, darunter Microsoft, identifiziert, die den Exploit korrekt als bösartig erkennen.

Daher verdient die scharfe Beobachtungsgabe des Microsoft-Ingenieurs in dieser Situation Anerkennung, da sich andere wahrscheinlich nicht die Zeit genommen hätten, Nachforschungen anzustellen. Dieser Vorfall unterstreicht auch die Anfälligkeit von Open-Source-Software für die Ausnutzung durch böswillige Personen.

Wenn Sie besorgt sind, beachten Sie bitte, dass die Versionen 5.6.0 und 5.6.1 von XZ Utils kompromittiert wurden. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) empfiehlt die Verwendung früherer, sicherer Versionen.

Gemäß den empfohlenen Richtlinien können Benutzer das Vorhandensein anfälliger Software auf einem System bestätigen, indem sie den folgenden Befehl in SSH mit Administratorrechten ausführen:


xz --version

Darüber hinaus sind auch Scan- und Erkennungstools von Drittanbietern verfügbar. Die Sicherheitsforschungsunternehmen Qualys und Binarly haben ihre eigenen Erkennungs- und Scan-Tools öffentlich zugänglich gemacht, mit denen Benutzer feststellen können, ob ihr System betroffen ist.

Die neueste Version von VULNSIGS, 2.6.15-6, wurde von Qualys veröffentlicht und die Schwachstelle wurde unter der QID (Qualys Vulnerability Detection ID) als „379548“ identifiziert.

Darüber hinaus hat Binarly kürzlich einen kostenlosen XZ-Backdoor-Scanner auf den Markt gebracht. Dieses Tool ist darauf ausgelegt, alle kompromittierten Versionen von XZ Utils zu identifizieren und zeigt bei Erkennung eine Benachrichtigung über die Entdeckung eines „bösartigen XZ-Implantats“ an.

Weitere technische Informationen zur Sicherheitslücke finden Sie auf den Websites von Binarly und Qualys. Beide Unternehmen haben Artikel veröffentlicht, in denen das Lieferketten-Puzzle von XZ Utils und die Backdoor CVE-2024-3094 erörtert werden.