Zusammenfassung
CVE-2026-31979 ist eine Sicherheitsanfälligkeit bezüglich lokaler Berechtigungseskalation (CVSS 8,8) mit hohem Schweregrad in Himmelblau, einer Open-Source-Interoperabilitäts-Suite, die Linux-Systeme mit Microsoft Azure Entra ID und Intune integriert.
Ein erfolgreicher Exploit ermöglicht einem lokalen Nutzer ohne Berechtigungen den vollen Root-Zugriff. So kann ein Angreifer, der sich bereits in Ihrer Umgebung etabliert hat, lokale Sicherheitskontrollen umgehen, auf sensible Daten (wie /etc/shadow) zugreifen und einen dauerhaften Zugriff auf dem Host einrichten.
Die Sicherheitsanfälligkeit ist eine Race-Bedingung für symbolische Verknüpfungen (Symlink). Das System handhabt Dateivorgänge im freigegebenen /tmp-Verzeichnis falsch, sodass ein Angreifer einen Prozess mit hohen Berechtigungen dazu bringen kann, systemkritische Dateien zu ändern.
Unternehmen, die „Linux on the Desktop“ ausführen oder Hybrid-Cloud-Umgebungen verwenden, die Himmelblau für die Durchsetzung von Intune-Richtlinien und Azure-Identitätsmanagement verwenden, sind einem hohen Risiko ausgesetzt.
Schwachstellendetails
Himmelblau ist eine wichtige Interoperabilitätssuite, die von Unternehmen verwendet wird, um die Lücke zwischen Linux-Ökosystemen und Microsoft Azure Entra ID und Intune zu schließen. Sie ermöglicht Unternehmen die Verwaltung von Linux-Bestände mit denselben Identitäts- und Richtlinienkontrollen, wie sie üblicherweise für Windows-Geräte gelten, einschließlich Single Sign-On (SSO) und Gerätekonformität.
Vor den Versionen 3.1.0 und 2.3.8 wurde im himmelblaud-tasks--Daemon ein schwerwiegender architektonischer Fehler entdeckt. Da dieser Daemon mit Root-Berechtigungen ausgeführt werden muss, um systemweite Authentifizierungstoken zu verwalten, birgt jede Schwachstelle in der Dateiverarbeitungslogik ein erhebliches Risiko.
Die Sicherheitslücke, die als CVE-2026-31979 identifiziert wird, entsteht dadurch, dass der Daemon beim Schreiben von Kerberos-Zugangsdaten-Cache-Dateien in das freigegebene Verzeichnis /tmp keine Symlink-Schutzfunktionen verwendet. Durch die Kombination unsicherer Dateivorgänge mit einer fehlenden systemd-Namespace-Isolierung kann ein lokaler Angreifer die Aktionen des Daemons umleiten, um die Eigentümerschaft für kritische Systemdateien zu übernehmen und so die Berechtigungen von einem Standardnutzer auf Root erhöhen.
Betroffene Produkte
Die anfällige Komponente wird in vielen Unternehmensumgebungen eingesetzt. Eine vollständige und verbindliche Liste der betroffenen Versionen finden Sie in den offiziellen Empfehlungen des Anbieters.
CWE-Klassifizierung
CWE-269: Inkorrekte Berechtigungsverwaltung
CWE-862: Fehlende Autorisierung
Abbildung im Rahmen von MITRE ATT&CK
Methode |
Name |
Taktik |
|---|---|---|
T1068 |
Ausnutzung für Berechtigungseskalation |
Eskalation von Berechtigungen |
T1548 |
Ausnutzen des Kontrollmechanismus zur Erhöhung von Berechtigungen |
Eskalation von Berechtigungen |
Die Schwachstelle liegt in einem TOCTOU-Fehler (Time-of-Check-to-Time-of-Use). Da der himmelblaud-tasks-Daemon keinen sicheren Ausführungs-Namespace hat (aufgrund des Entfernens von PrivateTmp), wird er im gleichen /tmp-Bereich wie Nutzer ohne Berechtigungen ausgeführt.
Indem ein Angreifer die Abhängigkeit des Daemons von pfadbasierten Vorgängen und nicht von Dateideskriptor-basierten Vorgängen ausnutzt, kann er ein „Rennen“ gewinnen, um ein legitimes Verzeichnis durch einen Symlink zu ersetzen, bevor der Daemon die Änderungen der Eigentümerschaft anwendet.
Die Reproduktion des Exploits in drei Schritten
Um diese Schwachstelle ausnutzen zu können, muss ein Angreifer über einen lokalen, unprivilegierten Zugriff auf ein System verfügen, auf dem eine anfällige Version von himmelblaud-tasks ausgeführt wird. Die Ausnutzung ist in Umgebungen, in denen eine automatische Registrierung oder häufige erneute Authentifizierung erfolgt, äußerst zuverlässig.
Schritt 1: Erstellen der Symlink-Falle
Als Nutzer ohne Berechtigungen (z. B. UID 1000) erstellen Sie eine symbolische Verknüpfung in /tmp, der auf ein privilegiertes Systemverzeichnis abzielt, wie z. B.:
ln -s /etc /tmp/krb5cc_$(id -u)Schritt 2: Auslösen des Root-Daemons
Führen Sie alle Aktionen aus, die einen Kerberos-Authentifizierungsfluss initiieren, wie z. B. eine PAM-Anmeldung oder die Verwendung von aad-tool.
aad-tool auth loginSchritt 3: Überprüfen der gehackten Eigentümerschaft
Der Daemon ruft create_ccache_dir für den Pfad des Angreifers auf. Da er nicht Link-fähig ist, folgt er dem Symlink und führt chown auf /etc aus.
ls -ld /etc
# Output will show /etc is now owned by the unprivileged user.Patch-Analyse
Die Fix für CVE-2026-31979 ist ein Patch, der die Race-Bedingung adressiert, indem er von pfadbasierten Vorgängen auf hoher Ebene zu Dateideskriptor-basierter Sicherheit auf niedriger Ebene wechselt.
Implementierung von O_NOFOLLOW. Der Patch aktualisiert write_bytes_to_file, um das Flag O_NOFOLLOW in den Systemaufruf open() einzubeziehen. Der Kernel weigert sich nun, einen Pfad zu öffnen, der ein Symlink ist, und gibt einen ELOOP-Fehler zurück.
Wechsel auf lchown. Der Daemon basierte ursprünglich auf Chown, das Symlinks auflöst. Der Patch ersetzt dies durch lchown, um sicherzustellen, dass die Änderungen der Eigentümerschaft nur auf den Link selbst angewendet werden, nicht auf das sensible Ziel.
Sichere Verzeichniserstellung. Der Patch führt die O_EXCL-Logik ein. Der Daemon stellt jetzt sicher, dass er ein neues Verzeichnis atomar erstellt und schlägt fehl, wenn eine Datei oder ein Symlink bereits in diesem Pfad vorhanden ist.
Erkennung anfälliger Anwendungen
Sigma-Regel (Linux auditd)
title: Detect Himmelblau Symlink Attack
id: 0d3d2cf5-194a-efe7-03a8-ac164aaf975b
status: experimental
description: Detects the himmelblaud-tasks daemon following a symlink to sensitive directories.
logsource:
product: linux
service: auditd
detection:
selection:
type: SYSCALL
syscall: chown
exe: /usr/sbin/himmelblaud-tasks
filter:
path: '/tmp/krb5cc_*'
condition: selection
tags:
- attack.privilege_escalation
- attack.t1068
level: highOsquery: CVE-2026-31979 – SUID/SGID-BINÄRDATEIEN
SELECT
f.path,
f.uid AS owner_uid,
u.username
FROM file f
JOIN users u ON f.uid = u.uid
WHERE f.path LIKE '/tmp/krb5cc_%'; Akamai-Kunden können Akamai Guardicore Segmentation-Insight-Abfragen nutzen, um anfällige Assets und Anzeichen für die Ausnutzung in ihrer Umgebung zu identifizieren.
Abwehr
Wenn Sie nicht sofort auf 3.1.0 patchen können, aktivieren Sie das systemd-Sandboxing manuell erneut, indem Sie einen Override für den himmelblaud-tasks-Dienst erstellen und PrivateTmp=true hinzufügen. Dadurch wird der Symlink-Angriffsvektor effektiv durchbrochen, indem /tmp des Daemons vom /tmp des Nutzers isoliert wird.
Zusammenfassung
CVE-2026-31979 stellt einen kritischen Bruch der Vertrauensgrenze zwischen lokalen Nutzern ohne Berechtigungen und hochprivilegierten System-Daemons dar. Durch Ausnutzung einer TOCTOU-Race-Bedingung in der Himmelblau-Suite können Angreifer das freigegebene /tmp-Verzeichnis nutzen, um Dateivorgänge auf Root-Ebene zu entführen.
Da Himmelblau als primäre Identitätsbrücke für die Linux-zu-Azure-Integration dient, gewährt diese Schwachstelle mehr als nur lokalen Root-Zugriff – sie beeinträchtigt die Integrität der Hostbeziehung mit Microsoft Entra ID.
Unternehmen sollten diese Schwachstelle nicht nur als lokalen Bug betrachten, sondern auch als mögliches Gateway für die laterale Netzwerkbewegung in die Cloud-integrierte Infrastruktur.
Wir halten Sie auf dem Laufenden
Die Akamai Security Intelligence Group wird weiterhin sowohl für unsere Kunden als auch für die gesamte Sicherheitscommunity solche Bedrohungen überwachen, Berichte darüber erstellen und Maßnahmen zur Abwehr entwickeln. Besuchen Sie unsere Forschungs-Homepage und folgen Sie uns in den sozialen Medien, um über weitere Neuigkeiten von der Akamai Security Intelligence Group informiert zu werden.
Tags
