Uma vulnerabilidade de alta gravidade detectada em instalações por defeito do Ubuntu Desktop a partir da 24.04 acendeu os alarmes na comunidade de segurança: uma falha que poderia permitir a um atacante local sem privilégios escalar até obter acesso root completo. A pesquisa foi publicada pela unidade de pesquisa de ameaças de Qualys, que descreveu como a interação entre dois componentes padrão do sistema - o gerenciador de confinamento de snaps e o limpeza automática de arquivos temporários - pode abrir uma janela para um compromisso total do equipamento. Você pode ler o relatório original do Qualys aqui, e a entrada do CVE na base de dados da NVD está disponível no registo público NIST.
Em termos simples, o problema nasce de uma colisão acidental entre snap-confine — o componente que prepara e isola os ambientes de execução das aplicações distribuídas como snaps — e systemd-tmpfiles, o serviço que periodicamente limpa arquivos e pastas temporárias do sistema. Sob condições padrão, o systemd-tmpfiles pode remover pastas que snap-confine espera encontrar e recriar com permissões seguras. Se um atacante conseguir antecipar essa remoção, você pode recriar o espaço removido com conteúdos manipulados que, ao ser montados por snap-confine, acabam sendo executados com privilégios de root.
A dificuldade do ataque não está em exigir privilégios elevados ou interação do usuário: a exploração só precisa de conta local e execução de código por parte do atacante. O que complica a exploração é o fator temporário. systemd-tmpfiles atua segundo limiares de antiguidade e, nas configurações por defeito do Ubuntu, esse período é relativamente longo: no Ubuntu 24.04 a limpeza de certos conteúdos é agendada a cada 30 dias, enquanto em versões posteriores o período por defeito pode ser de 10 dias. Ou seja, o exploit depende de esperar que o daemon aborre uma pasta crítica e aproveitar a janela que resta para colocar a armadilha maliciosa antes da seguinte inicialização do sandbox.
Qualys qualificou a vulnerabilidade como de gravidade alta, com escore CVSS de 7.8, porque o impacto potencial é a tomada total do host. A falha foi registrada como CVE-2026-3888 e já existem correções publicadas nos ramos afetados de snapd, o serviço responsável pela gestão de pacotes snap. As versões afetadas e as correções foram feitas tanto em pacotes do Ubuntu como no desenvolvimento upstream de snapd; a página de lançamentos do projeto upstream é um bom ponto de referência para ver as versões corrigidas: snapd releases. Para melhor compreender o comportamento de limpeza que possibilita o ataque, a documentação de systemd sobre systemd-tmpfiles traz contexto técnico útil: systemd-tmpfiles (man).
Paralelamente a este problema, Qualys identificou outra fraqueza de carreira na implementação de utilitários de sistema por parte do projeto uutils (uma reimplementação em Rust dos coreutils tradicionais). Esta falha permite a um atacante local substituir entradas de diretório por links simbólicos durante execuções programadas por cron sob usuário root, o que pode derivar em apagados arbitrários de arquivos como root ou em outros vetores de escalada ao apontar para diretórios sensíveis usados pelos snaps. Canonical reagiu a este risco reverte temporariamente o comando rm por defeito à variante clássica GNU coreutils na trajetória do Ubuntu 25.10, enquanto os mantenedores de uutils aplicaram correcções upstream no seu repositório: uutils/coreutils.
Se você usa Ubuntu Desktop em algum dos ramos afetados, a recomendação imediata é instalar atualizações publicadas pela sua distribuição para snapd e estar no dia com os avisos de segurança do Ubuntu. O centro de segurança do Ubuntu oferece uma visão geral de avisos e boletins, e é um bom ponto de partida para seguir as correções oficiais: Ubuntu Security. Em geral, atualizar snapd através das ferramentas do sistema (apt, snap refresh, ou o procedimento que aplique a sua versão) é a via mais direta para fechar essa lacuna. Para administradores com necessidade de mitigações rápidas adicionais, rever a configuração de systemd-tmpfiles para encurtar janelas de limpeza ou mudar políticas sobre quais rotas se purgam pode reduzir a superfície de ataque até que a correção seja aplicada — desde a prudência e comprobando o impacto operacional dessas mudanças.
Este incidente sublinha uma lição recorrente em segurança: mesmo componentes concebidos para isolar e proteger — como os sandboxes de snap — podem ser inseguros quando interagem com outras peças do sistema que não foram concebidas para cooperar nesse cenário. A cadeia de confiança é tão sólida quanto o elo mais fraco, e neste caso a sincronização temporária de tarefas de manutenção criou esse elo. Manter sistemas atualizados, rever configurações padrão e monitorar as comunicações de segurança dos fornecedores são práticas que, embora básicas, continuam sendo as mais efetivas para reduzir o risco.
Para aqueles que querem aprofundar os aspectos técnicos, a análise detalhada de Qualys é um bom ponto de partida, e os links para os repositórios de snapd e uutils permitem seguir as correções e entender como as falhas foram abordadas a nível de código. A nota de NIST oferece ainda a classificação e o histórico do CVE, útil para integrar a informação em processos de gestão de vulnerabilidades corporativos. Fique atento às atualizações e aplique os adesivos recomendados logo que possível para proteger equipamentos e dados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...