Atacantes estão explorando uma vulnerabilidade recentemente divulgada no kernel do Linux, que concede acesso root a shells, conforme alertou a agência de cibersegurança dos EUA, CISA.
Registrada como CVE-2026-31431 (CVSS ainda não informado) e apelidada de Copy Fail, a falha afeta o template authencesn AEAD do kernel. De acordo com a CISA, o defeito de segurança existia há quase uma década, impactando todas as distribuições Linux desde 2017.
A vulnerabilidade permite que atacantes autenticados com privilégios de execução de código modifiquem a página de cache de binários setuid-root legíveis para elevar privilégios para root. A Microsoft afirmou na última sexta-feira (ontem, 3 de maio) que observou exploração limitada em ambiente real, principalmente associada a testes de prova de conceito (PoC). Contudo, a empresa de tecnologia alerta que, apesar da atividade atual mínima, a CVE-2026-31431 tem ampla aplicabilidade, e um exploit PoC funcional foi publicado, o que deve preocupar os defensores.
Impacto e vetores de ataque
A Microsoft destacou que a exploração bem-sucedida leva à escalada total de privilégios para root (alto impacto na confidencialidade, integridade e disponibilidade). Segundo a empresa, a falha pode facilitar a fuga de contêineres, comprometimento de ambientes multi-inquilinos e movimentação lateral dentro de ambientes compartilhados. A Copy Fail pode ser explorada por qualquer usuário local sem privilégios, conforme a Microsoft, e pode ser encadeada com acesso SSH, jobs maliciosos de CI/CD ou acesso a contêineres para obter acesso root a shells.
Um vetor de ataque típico, de acordo com a Microsoft, começaria com reconhecimento para identificar um contêiner executando um kernel vulnerável e continuaria com a execução de um pequeno script para sobrescrever dados na memória e elevar privilégios. A CISA adicionou o bug ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), e a agência federal dos EUA instou suas agências a aplicarem patches em até duas semanas.
