Um novo zero-day no Linux, batizado como Dirty Frag, permite a um atacante local escalar privilégios até root na maioria das distribuições com uma única ordem, segundo o pesquisador Hyunwoo Kim, que publicou tanto a documentação como um PoC depois de quebrar o embargo. A exploração acorrente de duas falhas separadas do kernel (relacionados com xfrm-ESP e RxRPC) para sobrepor páginas de memória protegidas e modificar arquivos de sistema sem autorização; ao contrário de falhas anteriores como o Dirty Pipe ou o Copy Fail, este ataque aproveita um campo de fragmentação diferente na lógica do kernel, o que o torna novidade e perigoso.
A gravidade prática é alta porque Dirty Frag é uma falha de lógica determinista: não requer condições de carreira complexas, não provoca pânico do kernel ao falhar e os PoC reportam uma taxa de sucesso muito elevada. Embora o ataque exija acesso local, isso torna ambientes multiutilizados, máquinas com contas de desenvolvimento expostas, contêineres mal isolados e ambientes cloud compartilhados em objetivos de alto risco. Além disso, a publicação pública do exploit antes de adesivos amplifica a janela de exposição.
Até o momento não existe um CVE oficial para essa vulnerabilidade porque o embargo se quebrou; a informação original e os recursos do autor estão disponíveis no comunicado de Openwall e no repositório com o PoC: disclosure de Openwall e Repositório Dirty Frag no GitHub. Aqueles que gerem infra-estruturas devem seguir com atenção os avisos dos mantenedores da sua distribuição e estar preparados para aplicar adesivos de kernel logo que sejam publicados.
Como mitigação imediata os autores propõem bloquear e baixar os módulos vulneráveis (esp4, esp6 e rxrpc). O comando sugerido para criar uma regra de modprobe que impeça a sua carga e para remover os módulos carregados a quente é: sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true". Atenção: esta medida deshabilita IPsec e AFS; não deve ser aplicada sem avaliar o impacto em VPNs e serviços dependentes.
Enquanto se aguarda a correção oficial, devem tomar medidas adicionais de redução de risco: restringir o acesso local a sistemas críticos, revogar o acesso interativo desnecessário, reforçar políticas de isolamento de contêineres e máquinas virtuais, e monitorar sinais de escalada (processos inesperados com UID 0, modificações incomuns em /etc, cargas dinâmicas de módulos). As equipes de resposta devem preparar procedimentos para isolar e requisitar sistemas comprometidos em vez de tentar consertá-los in situ.
Também é importante lembrar a relação com incidentes recentes: os mantenedores ainda estão a instalar adesivos para Copy Fail e outras falhas de escalada de privilégios que surgiram nos últimos meses. A Agência de Segurança Cibernética dos EUA. Os EUA (CISA) estão a priorizar estas vulnerabilidades em seu catálogo de vulnerabilidades exploradas; as organizações federais receberam ordens para mitigar Copy Fail rapidamente. Veja a página oficial do CISA para seguimento e comandos aplicáveis: CISA KEV Catalog.
De uma perspectiva defensiva a médio prazo, convém reforçar os controlos de contenção: ativar e revisar políticas do SELinux/AppArmor, aplicar isolamento de namespaces e cgroups em workloads, usar mecanismos de controle de integridade de arquivos e EDR que detectem comportamentos de escalada, e preparar alertas para cargas ou manipulações de módulos do kernel. Planifique implementações de kernel atualizados em janelas controladas e tente restaurações completas para garantir uma remediação limpa em caso de compromisso.
Para administradores de nuvem e forneceria gerenciadas, a recomendação imediata é coordenar com os fornecedores de imagens e serviços para conhecer o impacto em infraestruturas compartilhadas e exigir testes de mitigação e adesivo. Dado o padrão de exploração local e a facilidade demonstrada pelo PoC, a janela de risco é concreta e curta: a acção rápida e coordenada reduz a probabilidade de compromissos maciços.
Finalmente, mantenha cópias fora de linha de elementos críticos de auditoria e chaves, rote credenciais de contas privilegiadas após atividades suspeitas e substitua as listas e canais oficiais de segurança da sua distribuição para receber as atualizações de adesivos disponíveis; a combinação de mitigações temporárias, detecção ativa e adesivo adequado é a única estratégia prática para neutralizar uma vulnerabilidade com as características de Dirty Frag.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...