Linux-Ausführungsdateien aufspüren, die durch den XZ Utils-Supply-Chain-Angriff, markiert als CVE-2024-3094, kompromittiert wurden. Diese Sicherheitslücke betrifft ein weitverbreitetes Set von Datenkompressionswerkzeugen und -bibliotheken, die in vielen großen Linux-Distributionen zum Einsatz kommen.

Die Backdoor wurde Ende letzten Monats von dem Microsoft-Ingenieur Andres Freud in der neuesten Version des XZ Utils-Pakets entdeckt, während er ungewöhnlich langsame SSH-Anmeldungen auf Debian Sid untersuchte. Die Schwachstelle wurde von einem pseudonymen Beitragenden in Version 5.6.0 eingeführt und blieb in 5.6.1 bestehen. Jedoch waren nur wenige Linux-Distributionen und Versionen betroffen, die einen „Bleeding Edge“-Upgrade-Ansatz verfolgten, während die meisten eine frühere, sichere Bibliotheksversion verwendeten.

Ein dedizierter Scanner für tiefere Einblicke

Binarly merkt an, dass bisherige Bemühungen zur Gefahrenabwehr auf einfache Überprüfungen wie Byte-String-Matching, File-Hash-Blockierung und YARA-Regeln basierten, was zu falsch positiven Ergebnissen führen könnte. Um diesem Problem entgegenzuwirken, entwickelte Binarly einen speziellen Scanner, der sowohl für die betroffene Bibliothek als auch für jegliche Datei mit derselben Backdoor funktioniert.

Dieser Scanner verwendet statische Analysen von Binärdateien, um Manipulationen in den Übergängen von GNU Indirect Function (IFUNC) zu identifizieren, was eine hochpräzise Erkennung ermöglicht. Binarlys Ansatz erhöht die Erkennungsgenauigkeit, indem er nach verschiedenen Supply-Chain-Angriffspunkten sucht, nicht nur im XZ Utils-Projekt.

Kostenloser Zugang und API für Massenscans

Der Scanner ist online unter xz.fail verfügbar und bietet unbegrenzte kostenlose Überprüfungen von Binärdateien. Darüber hinaus hat Binarly eine kostenlose API für Massenscans bereitgestellt, um den Bedürfnissen derer gerecht zu werden, die sie benötigen.

Diese Entdeckung unterstreicht die kontinuierlichen Herausforderungen im Umgang mit Software-Supply-Chain-Angriffen und die Bedeutung einer wachsamen und proaktiven Sicherheitsstrategie in der digitalen Welt.