A agência americana CISA confirmou que atores maliciosos já estão explodindo em ambientes reais a falha conhecida como Copy Fail (CVE-2026-31431), apenas um dia depois de os pesquisadores de Theori publicarem a vulnerabilidade e compartilharem um exploit de teste de conceito. Esta velocidade —divulgação pública seguida por exploração ativa — torna a vulnerabilidade numa prioridade imediata para equipamentos de segurança e administradores de sistemas.
Copy Fail afeta a interface criptográfica algif_ aead do kernel do Linux e permite a um utilizador local não privilegiado escalar privilégios root escrevendo apenas quatro bytes controlados na 'cache' de qualquer ficheiro legível. O exploit publicado pelo Theori funciona sem modificações em várias distribuições modernas e, segundo seus testes, é confiável em kernels construídos desde 2017 até o adesivo, o que coloca uma grande parte dos servidores e endpoints em risco. Você pode consultar o seguimento da vulnerabilidade no repositório Debian no repositório security-tracker.debian.org e a divulgação do Theori copy.fail.
A resposta oficial foi acelerada: CISA acrescentou a falha ao Known Exploited Vulnerabilities (KEV) Catalog e ordenou que as agências federais dos EUA apliquem adesivos no prazo de duas semanas, segundo a política KEV A directiva vinculativa BOD 22-01. Embora esse mandato rege apenas o setor federal, CISA e a comunidade de segurança recomendam que todas as organizações priorizem esta correção pela possibilidade real de obtenção de shells root em servidores expostos ou com usuários locais maliciosos.
Para mitigar o risco imediatamente, atualize o kernel e os pacotes da sua distribuição De acordo com as instruções do fornecedor; faça destacamentos de teste e, quando for viável, reinicie os sistemas para que as alterações no núcleo entrem em efeito. Se não for possível aplicar imediatamente o adesivo, reduza a superfície de ataque limitando o acesso local: verifique as contas, suprime os acessos desnecessários e aplique políticas de controlo de execução e integridade. Também é recomendável ativar ou reforçar mecanismos de controle como o SELinux/AppArmor e registrar detalhadamente as elevações de privilégio e as conexões locais suspeitas.
Detectar exploração prévia ou ativa requer procurar indicadores de atividade anómala: processos inesperados com UID 0, shells interativos iniciados por contas não administrativas, novos binários em /tmp ou /var, e registros do kernel relacionados a erros em subsistemas criptográficos ou erros de página. Audite históricos de sudo, auth.log e dmesg, e tenha preparados procedimentos de contenção que incluam isolamento de hosts comprometidos, análise forense e restauração a partir de imagens confiáveis se se confirmar uma intrusão.
Este incidente mostra a rapidez com que uma PoC pública pode ser transformada em campanha de exploração real e a necessidade de ciclo de adesivo ágil. Organizações com implantaçãos sensíveis ou ambientes multi-usuários devem tratar a correção de CVE-2026-31431 como prioridade máxima e revisar também as lições recentes, como a correção prévia de vulnerabilidades de escalada de privilégios em Linux (por exemplo, CVE-2026-41651), para melhorar processos internos de gestão de vulnerabilidades e tempos de resposta.
Em resumo, agir agora: identifique sistemas com kernels vulneráveis, aplique adesivos e reinícios de acordo com o seu fornecedor, reduza o acesso local temporariamente e monitore sinais de compromisso. A exposição é ampla e a exploração está ocorrendo; adiar a intervenção aumenta o risco de incidentes graves e compromissos a nível do root.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...