A libertação pública de um proof-of-concept (PoC) para o que é conhecido como DirtyDecrypt (também rotulado em algumas fontes como DirtyCBC) volta a acender os alarmes sobre uma cadeia de falhas no manejo da cache de páginas do kernel que, explorada localmente, permite escalar privilégios até root em sistemas Linux vulneráveis.
Em essência, DirtyDecrypt deriva de uma omissão do mecanismo de cópia ao escrever (copy-on-write, COW) dentro da função que decifra pacotes entrantes em certo subsistema criptográfico do kernel: quando a escrita é feita sobre páginas compartilhadas com o page cache de outros processos, o kernel deve criar antes uma cópia privada; se esse passo falta, um atacante local pode escrever em memória pertencente a processos privilegiados ou corromper conteúdos no page cache de arquivos sensíveis como /etc/shadow ou um binário SUID, o que facilita a obtenção de privilégios elevados.
O problema concreto está identificado no CVE-2026-31635 e o PoC disponível demonstra como a ausência da guarda COW em rxgk_decrypt_skb gera a primitiva escrita que exploram as famílias de vulnerabilidades conhecidas como Copy Fail, Dirty Frag e Fragnesia. Essas famílias compartilham a característica perigosa de permitir a modificação de dados “de apenas leitura” de contexto sem privilégios ao corromper o page cache.
A exposição não é universal: só afeta os núcleos compilados com CONFIG_ RXGK ativado, que é uma configuração ativa por defeito em algumas distribuições "rolling" e de corte mais moderno como Fedora, Arch Linux e openSUSE Tumbleweed. Em ambientes de contêineres, o impacto é adicionalmente crítico porque um nó trabalhador com um kernel vulnerável pode se tornar vetor de escape de um pod comprometido para o host.
Além do vetor técnico, há uma lição operacional: o aparecimento rápido de exploráveis públicos após adesivos upstream — ou mesmo depois de commits públicos que revelam a primitiva — provocou discussões sobre contramedidas temporárias a quente. Um dos debates no desenvolvimento do kernel propõe um “killswitch” que permitiria a um administrador forçar que uma função do kernel devolva um valor fixo sem executar seu corpo, como mitigação de emergência até que o arranjo definitivo esteja disponível. Essa proposta, porém, traz riscos e limitações que requerem ponderação cuidadosamente antes de sua adoção em ambientes produtivos.
Se você administra sistemas Linux, as ações imediatas recomendadas são claras: prioriza a aplicação de atualizações oficiais da sua distribuição que corrijam CVE-2026-31635 e adesivos relacionados; depois de atualizar, reinicia os hosts para garantir que o novo kernel esteja ativo. Verifique se o seu kernel está construído com a opção afetada executando, por exemplo, grep - i CONFIG_RXGK /boot/ config- $(uname -r) ou zgrep CONFIG_RXGK /proc/ config. gz Quando esse ficheiro existir.
Se não houver adesivo disponível para sua versão e não puder atualizar imediatamente, reduz a superfície de ataque restringindo o acesso de contas locais não confiáveis, evitando que usuários sem necessidade possam compilar código ou criar sockets cripto, e reforçando a segregação de contêineres: evita executar cargas de trabalho não confiáveis em nodos compartilhados e aplica políticas de segurança do kernel como seccomp, SELinux/AppArmor e limites de capacidades. Evalúa também a possibilidade de usar kernels de suporte estendido ou repositórios de segurança acelerada que oferecem algumas distribuições quando necessário um adesivo urgente.
Detectar a exploração retroativa é complexo porque a modificação do page cache nem sempre deixa rastros claros em disco até que o conteúdo seja escrito. Como medidas de detecção e mitigação, revisa a integridade de arquivos sensíveis com ferramentas de verificação de pacotes (por exemplo, rpm --verify ou debsums), busca mudanças anormais em /etc/shadow e /etc/sudoers, e monitora eventos invulgares a nível de kernel e de sistema que indiquem execução de código local com elevação de privilégios.
Este episódio deve ser entendido como parte de uma tendência recente: em questão de semanas surgiram múltiplos LPEs com diferentes raízes técnicas (entre elas Pack2TheRoot, CVE-2026-41651, e falhas de gestão de privilégios como CVE-2026-46333) e a comunidade está discutindo não só como adesivo, mas como diminuir o tempo entre detecção e mitigação efetiva. Para mais informações técnicas sobre os detalhes da vulnerabilidade e sua classificação, consulte o RCM da NVD em CVE-2026-31635 e a relação com outros incidentes recentes CVE-2026-41651.
Como conclusão prática: atua com prioridade em aplicar adesivos e reinícios de kernel, verifique a configuração de seus kernels para saber se você é suscetível, limita o acesso local não essencial e trata os nós de contentores como ativos críticos cuja segurança do kernel é tão importante quanto a das aplicações que executam. A velocidade de distribuição de PoC públicos torna a defesa proativa e a higiene operacional a melhor proteção contra essas ameaças.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...