Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de conceito que permite a um usuário local escalar o root em sistemas Arch Linux com condições específicas cumpridas. Embora o erro já tenha sido corrigido no kernel, a disponibilidade do PoC torna o risco real para máquinas sem adesivo ou mal configuradas.
A vulnerabilidade reside no caminho de envio zerocopy do subsistema RDS (Reliable Datagram Sockets). Em termos gerais, a função que "pinneia" páginas de usuário pode perder referências quando ocorre uma exceção a metade de operação; esse duplo liberado (double-free) combinado com a interação com buffers fixos de io_uring pode terminar em uma sobreposição da cache de páginas e, finalmente, em controle de memória capaz de obter um shell com privilégios elevados. V12 explica o vetor técnico e publicou o código no seu repositório, o que facilita os defensores entenderem a exploração e, infelizmente, a atacantes recriar: explicação e PoC de V12.
É importante sublinhar que a exploração não é trivial. Requer que o módulo RDS esteja carregado, que o io_uring está disponível no kernel, a presença de um binário SUID-legible e a arquitetura x86_64 para o payload incluído, o que reduz consideravelmente a superfície de ataque. V12 aponta que, entre as distribuições comuns testadas, o módulo RDS vem ativado por defeito apenas no Arch Linux, pelo que a peculiaridade da configuração por defeito eleva o risco nessa distribuição em particular.
O adesivo que corrige o erro já foi enviado para a árvore do kernel; os administradores e usuários devem priorizar a atualização do kernel às versões disponíveis que contenham essa correção. Você pode consultar o envio do adesivo original para revisar quais linhas foram modificadas e confirmar a inclusão em versões do kernel em: pormenor do adesivo no lore.kernel.org. Aplicar o adesivo ou atualizar para a versão do kernel distribuída pelo seu distro é a medida definitiva.
Para sistemas que não podem ser adesivos de imediato, existe uma mitigação prática: baixar o módulo RDS e bloquear a sua carga futura criando um ficheiro em /etc/modprobe.d/ que impeça a sua inserção. Um exemplo efetivo é executar rmmod rds_tcp rds e escrever em /etc/modprobe.d/pintheft.conf as linhas install rds /bin/false e install rds_tcp /bin/false. Esta intervenção impede o uso do vetor RDS, mas deve ser avaliada porque pode desactivar as funcionalidades de rede que dependem do módulo.
Para além do adesivo e mitigação técnica, o aparecimento repetido de erros de escala local no kernel e a publicação pública de PoC evidenciam uma lição prática: reduzir a exposição da superfície de ataque. Isto inclui rever e minimizar binários SUID, desactivar módulos de kernel desnecessários, controlar parâmetros de segurança do sistema (por exemplo, políticas de seccomp e grsecurity quando disponíveis) e aplicar princípios de lerst privilege em ambientes multiutilizadores e servidores na nuvem.
As organizações também devem integrar detecção e resposta: deixar traços de tentativas de exploração pode marcar a diferença entre um incidente contido e uma escalada. Rever logs do kernel, auditorias de acessos e alertas relacionados a io_uring, cargas invulgares de módulos ou abortos de processos podem ajudar a detectar atividade suspeita. Para contexto sobre a ameaça global e outras vulnerabilidades de escala que estão atraindo atenção, a Agência CISA mantém avisos e catálogos de vulnerabilidades exploradas no wild; ver o seu comunicado relacionado com a recente onda de LPEs: aviso de CISA.
Finalmente, diante da publicação de PoC e da velocidade com que se vêm revelando falhas da mesma natureza (DirtyDecrypt, DirtyCBC, Copy Fail, entre outros), minha recomendação para administradores e usuários avançados é priorizar manutenção proativo: atualizar kernels e sistemas de segurança da distribuição, auditar e minimizar módulos e binários SUID, e aplicar mitigações temporárias quando não for possível adesivo de imediato. A transparência técnica do adesivo e do PoC facilita a defesa, mas também reduz o tempo de graça; a ação precoce é fundamental.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...