Uma falha crítica no kernel do Linux, chamada Copy Fail, permite que qualquer usuário local se torne root com um script Python de 732 bytes. Todas as principais distribuições desde 2017 foram afetadas e a exploração já é pública no GitHub.
Uma inteligência artificial encontrou em uma hora uma falha que remonta a nove anos.
A falha, identificada como CVE-2026-31431 e denominada Copy Fail pelos pesquisadores da Theori, é avaliada em 7,8 de 10 na escala CVSS. Ele explora um bug no módulo de criptografia autenticação do kernel, introduzido em agosto de 2017 para otimização aparentemente inofensiva.
Concretamente, um usuário sem privilégios pode gravar quatro bytes controlados no cache da página de qualquer arquivo legível, o que é suficiente para modificar um arquivo binário. setuid na memória e obtenha root. Todas as principais distribuições são afetadas: Ubuntu, Debian, RHEL, SUSE, Amazon Linux. O script de demonstração tem dez linhas e 732 bytes e funciona na primeira vez, sem recompilação, sem condição da raçasem ajuste por versão do kernel.
Para ir mais longe
Fim do Windows 10: veja como instalar o Linux, escolher sua distribuição, criar sua chave USB inicializável e configurar seu novo sistema
Não é um novo Dirty Pipe, mas é pior de explorar
Os veteranos do Linux inevitavelmente pensam em Dirty Cow (2016) e Dirty Pipe (2022). A mesma família, os mesmos efeitos devastadores, mas o Copy Fail está em uma categoria acima em termos de confiabilidade. Dirty Cow exigia vencer uma condição de corrida, às vezes várias tentativas, às vezes um acidente. Dirty Pipe dependia da versão do kernel.
Copy Fail é o que os pesquisadores chamam de bug de lógica em linha reta : uma falha determinística, que funciona sempre. Sem tempo para respeitar, sem compensação para adivinhar. O mesmo script Python funciona nos kernels 6.12 a 6.18, tanto no x86 quanto no ARM.
O detalhe que torna isso ainda mais incômodo é o método de descoberta. O pesquisador Taeyang Lee identificou um ângulo de ataque promissor e, em seguida, lançou o Xint Code, a ferramenta interna de auditoria assistida por IA da Theori, em todo o subsistema criptografia/ do núcleo. Uma hora de digitalização. Apenas um aviso. Copy Fail apareceu no topo da lista, junto com outras falhas ainda sob embargo. Uma vulnerabilidade passou por nove anos de análises humanas, eliminada por uma IA em menos tempo do que o almoço.
Quem deve se preocupar e quem pode respirar
A boa notícia é que o Copy Fail não pode ser explorado remotamente. Você já deve estar com um pé na máquina, como usuário médio. A má notícia é que muitos invasores já possuem esse ponto de apoio: uma falha na Web que fornece um shell, uma conta SSH comprometida, um corredor de IC mal isolado.
Concretamente, Copy Fail é um multiplicador. Para um indivíduo em seu laptop Ubuntu, o risco real é baixo, desde que ninguém mais tenha acesso à sessão. Para hosts, administradores de servidores compartilhados e especialmente usuários do Kubernetes, a história é diferente. Se o seu modelo de isolamento depende de “contêineres em um núcleo compartilhado”, é hora de revisitar a cópia.
Debian, Ubuntu e SUSE lançaram patches. A Red Hat inicialmente atrasou antes do alinhamento. O procedimento a seguir está em uma linha: atualize seu kernel agora. A correção reverte a otimização de 2017 em algif_aead.c.