Pesquisadores de segurança revelaram uma vulnerabilidade grave no kernel do Linux conhecida como Copy Fail (CVE-2026-31431), que permite a um utilizador local sem privilégios escrever quatro bytes controlados na cache de páginas de qualquer ficheiro legível e, consequentemente, provocar a elevação de privilégios até root. O falha reside na lógica do subsistema criptográfico do kernel, especificamente no módulo algif_ aead, e vem de uma mudança introduzida no código em agosto de 2017, o que significa que muitas distribuições têm anos expostos.
O que diferencia Copy Fail de outras falhas é sua simplicidade e portabilidade: os pesquisadores demonstraram um exploit em Python de apenas 732 bytes capaz de injetar código em um binário setuid (por exemplo, /usr/bin/su) e executá-lo com privilégios de administrador. Não é necessário um exploit remoto ou condições de carreira complexas; a técnica é apoiada como uma operação AEAD através de um socket AF_ALG pode terminar escrevendo uma página da 'cache' num destino que o processo controlado pode manipular e depois usar splice() para completar a escrita na 'cache' do ficheiro alvo.
De uma perspectiva operacional, isto tem implicações críticas para servidores compartilhados e ambientes de contêineres: a 'cache' de páginas é uma estrutura partilhada entre processos, portanto, um usuário confinado em um recipiente ou um trabalhador em um servidor multiutilizador pode, potencialmente, afetar binários no sistema anfitrião. Fornecedores de nuvem e responsáveis por infra-estruturas multi-cliente devem considerar a vulnerabilidade como de alto risco para a integridade de ambientes isolados e a implantação de mitigações urgentes.
As equipes de manutenção de distribuições já publicaram avisos e adesivos; a via de mitigação correta e definitiva é aplicar as atualizações do kernel fornecidas pelo seu fornecedor (Amaz, Red Hat, SUSE, Debian, Ubuntu, entre outros). Você pode consultar a entrada oficial na base de dados de vulnerabilidades para detalhes técnicos e referências de adesivos em NVD – CVE-2026-31431 e rever o código afetado na árvore oficial do kernel git.kernel.org – crypto/algif_ aead.c.
Enquanto chega o adesivo ou em ambientes onde não é possível um reinício imediato, existem medidas temporárias que os equipamentos de segurança deveriam considerar com cautela: avaliar se o módulo algif_aead é cargable e, quando possível, transferi-lo (modprobe -r) em sistemas que o permitam; restringir o acesso a contas locais não confiáveis e minimizar os usuários com permissões para operar sockets AF_ALG; e, em ambientes de contentores, rever políticas de isolamento, limites de syscalls e capacidades que poderiam facilitar esse tipo de ataques. Note-se que algumas mitigações “rápidas” como eliminar o bit setuid de utilidades críticas afetam funcionalidade e devem ser usadas apenas com um plano de recuperação.
Além das correcções, é importante investigar possíveis indicadores de compromisso: verificar a integridade de binários setuid através das ferramentas de verificação de pacotes (rpm - V, debsums, etc.), rever logs de execução e auditoria (auditd) em busca de execve incomuns sobre binários sensíveis e procurar alterações inesperadas em /usr/bin e outras pastas de sistema. Os ambientes gerenciados e serviços cloud devem priorizar a rotação de imagens e a atualização de nós coordenada para evitar janelas de exposição.
A recorrência de erros que manipulam a página de 'cache' - lembra que o Copy Fail vem na estela de vulnerabilidades anteriores como o Dirty Pipe - mostra que as optimizações de desempenho no kernel podem introduzir vetores de ataque duradouros. Para equipamentos de desenvolvimento e operadores, a lição é dupla: por um lado, manter ciclos rápidos de adesivos e testes de regressão que incluam casos de segurança; por outro, reforçar políticas de menor privilégio e design defensivo para minimizar o impacto de explorações locais.
Se você gerencia sistemas Linux, priorize a aplicação dos boletins de segurança de sua distribuição e programme reinícios controlados após a atualização do kernel. Mantenha a vigilância nos canais oficiais do seu fornecedor e em bases de dados de vulnerabilidades, e planifique uma auditoria pós-parche para detectar qualquer uso indevido prévio. A coordenação entre equipamentos de segurança, operações e fornecedores é fundamental para conter esta vulnerabilidade que, por sua natureza, afeta um amplo espectro de implantaçãos de estações de trabalho a servidores na nuvem.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...