Wie viele andere Unternehmen veröffentlicht auch Intel einmal monatlich Sicherheitsupdates. Für Oktober 2020 beschränkten sich diese Veröffentlichungen auf ein Advisory zu BlueZ, dem offiziellen Protokollstapel zur Implementierung von Bluetooth-Funktionen unter Linux. Intel hat zwei der darin beschriebenen Sicherheitslücken (CVE-2020-12352, CVE-2020-12353) als "Moderate" eingestuft. Einer dritten wies das Unternehmen die Einstufung "High" (CVE-2020-12351, CVSS-Score 8.3) zu.
Intels Beschreibung im BlueZ Advisory zufolge fußen alle drei Lücken auf Mängeln in der Input-Validierung in BlueZ. Unauthentifizierte Angreifer könnten diese Mängel via Bluetooth-Verbindung ausnutzen, um ihre Zugriffsrechte auszuweiten.
Sicherheitsforscher von Google, die die Lücken entdeckt haben, demonstrierten nun in einem Video, wie ein Angriff via "BleedingTooth", ihrem Sammelbegriff für die Lücken, funktioniert und welche praktischen Folgen die von Intel beschriebene Rechteausweitung haben kann. Bei GitHub veröffentlichten sie außerdem Proof-of-Concept-Code. Ein detaillierter Blogpost soll demnächst folgen.
"Zero-Click Remote Code Execution"
Laut Lückenbeschreibung bei GitHub betrifft "BleedingTooth" alle Kernel-Versionen ab einschließlich 4.8 (bis exklusive 5.10). Voraussetzung für einen Angriff sei, dass der Angreifer die Bluetooth-MAC-Adresse (Bluetooth Device Address, BD_ADDR) seines Opfers kenne. Solche Adressen lassen sich mit speziellen Bluetooth-Sniffern ermitteln.
Der Angreifer könne dann "aus kurzer Distanz", also wohl aus Bluetooth-Reichweite, ein speziell präpariertes L2CAP-Datenpaket verschicken. Auf diesem Wege lasse sich ein Denial-of-Service-Zustand provozieren und unter Umständen auch beliebiger Code mit Rechten des Kernels ausführen, ohne dass eine Interaktion nötig sei ("Zero-Click"). Letzteres demonstrierten die Forscher im Video.
Workaround: Bluetooth deaktivieren
Das BlueZ-Projekt hat Aktualisierungen entwickelt, die es allerdings nicht mehr in die kürzlich erschiene Kernel-Version 5.9 geschafft haben. Laut Intel sollen sie in Version 5.10 einfließen, die möglicherweise noch im Dezember dieses Jahres kommt. Es stehen aber auch Kernel-Fixes bereit, die vorhandene Versionen nachträglich absichern.
Da das Ausnutzen von BleedingTooth aktiviertes Bluetooth sowie ausreichende Nähe eines Angreifers erfordert, empfiehlt sich als temporärer Workaround, auf Bluetooth (zumindest im öffentlichen Raum) zu verzichten. Die Wahrscheinlichkeit, dass BleedingTooth "massenhaft" ausgenutzt wird, scheint aufwandsbedingt trotz vorliegendem PoC-Code eher gering; gezielte Angriffe auf Einzelpersonen wären ein plausibleres Szenario.
Linux-Nutzer sollten Ausschau nach Advisories ihrer jeweiligen Distribution halten – vorrangig wohl zu CVE-2020-12351 als "gefährlichster" BleedingTooth-Lücke.
- Arch Linux (Bugtracker-Eintrag zu BleedingTooth)
- Red Hat Customer Portal: CVE-2020-12351
- Ubuntu: CVE-2020-12351