Die US-Agentur CISA hat bestätigt, dass schädliche Akteure bereits in realen Umgebungen ausbeuten das Scheitern bekannt als Kopie des Fehlers (CVE-2026-31431), nur einen Tag nachdem Theori Forscher Verwundbarkeit veröffentlicht und eine Konzepttestexplosion geteilt. Diese Geschwindigkeit - öffentliche Offenlegung gefolgt von aktiver Ausbeutung - macht Sicherheitsteams und Systemmanagern eine unmittelbare Priorität.
Copy Fail beeinflusst kryptographische Schnittstelle Algif _ aead der Linux-Kernel und erlaubt einem unprivilegierten lokalen Benutzer zu Root-Privilegien zu klettern, indem nur vier kontrollierte Bytes auf der Seite Cache jeder lesbaren Datei. Die von Theori veröffentlichte Explosion funktioniert ohne Änderung in mehreren modernen Distributionen und ist nach ihren Tests zuverlässig in Kernel gebaut von 2017 bis zum Patch, der einen großen Teil der Server und Endpunkte gefährdet. Die Sicherheitsüberwachung im Debian-Repository ist verfügbar unter Sicherheits-Tracker.debian.org und die Verbreitung von Theori in kopieren.fail.
Die offizielle Antwort hat sich beschleunigt: Die CISA hat das Versagen hinzugefügt Bekannte Exploited Schwachstellen (KEV) Katalog und befahl US-Bundesbehörden, Patches innerhalb von zwei Wochen nach der KEV-Politik und der verbindlichen Richtlinie BOD 22-01. Obwohl dieses Mandat nur für den Bundessektor gilt, empfehlen die CISA und die Sicherheitsgemeinschaft, dass alle Organisationen diese Korrektur priorisieren, weil die reale Möglichkeit, Shells Wurzel auf exponierten Servern oder mit bösartigen lokalen Benutzern zu erhalten.
Um das Risiko sofort zu mindern, den Kernel und die Pakete seiner Distribution aktualisieren nach den Anweisungen des Lieferanten; führen Sie Testeinsätze durch und starten Sie gegebenenfalls die Systeme neu, so dass die Änderungen im Kernel wirksam werden können. Wenn das Patch nicht sofort angewendet werden kann, reduzieren Sie die Angriffsfläche, indem Sie den lokalen Zugriff einschränken: Konten überprüfen, unnötigen Zugriff entfernen und Durchsetzungs- und Integritätskontrollrichtlinien implementieren. Es wird auch empfohlen, Kontrollmechanismen wie SELinux / AppArmor zu aktivieren oder zu stärken und Privilegienerhöhungen und verdächtige lokale Verbindungen im Detail aufzuzeichnen.
Das Erkennen früherer oder aktiver Ausbeutung erfordert die Suche nach anormalen Aktivitätsindikatoren: unerwartete Prozesse mit UID 0, interaktive Shells, die durch nicht-administrative Konten, neue Binaries in / tmp oder / var initiiert werden, und Kernel-Aufzeichnungen im Zusammenhang mit kryptographischen Subsystemen oder Seitenfehlern. Historisches Audit von sudo, auth.log und dmesg, und haben Eindämmung Verfahren vorbereitet, die Isolierung von engagierten Gastgebern, forensische Analyse und Wiederherstellung von zuverlässigen Bildern, wenn ein Eindringen bestätigt wird.
Dieser Vorfall zeigt erneut die Geschwindigkeit, mit der ein öffentlicher PoC in eine echte Ausbeutungskampagne umgewandelt werden kann und die Notwendigkeit eines agilen Parkzyklus. Organisationen mit sensiblen Einsatzbereichen oder Multi-User-Umgebungen sollten die CVE-2026-31431-Korrektur als oberste Priorität behandeln und auch die aktuellen Lektionen überprüfen, wie die vorherige Korrektur von Privileg-Klettern Schwachstellen in Linux (z.B. CVE-2026-41651), die internen Sicherheitsmanagementprozesse und Reaktionszeiten zu verbessern.
Kurz gesagt, Jetzt: Systeme mit verwundbarem Kernel identifizieren, Patches anwenden und neu starten, wie von Ihrem Lieferanten empfohlen, den lokalen Zugriff vorübergehend reduzieren und die Verpflichtungssignale überwachen. Die Ausbeutung ist weit verbreitet und die Ausbeutung findet statt; die postponierende Intervention erhöht das Risiko von schweren Vorfällen und Root-Level-Verpflichtungen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...