A Microsoft e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiram recentemente um alerta sobre uma nova vulnerabilidade de segurança no kernel Linux, dizendo que o problema pode afetar um grande número de distribuições convencionais, incluindo Ubuntu, Red Hat, SUSE, Debian, Fedora, Arch Linux e Amazon (AWS) Linux, e o número de dispositivos envolvidos pode ser de milhões.
A vulnerabilidade é numerada CVE-2026-31431 e tem uma pontuação CVSS de 7,8. Ele está listado no diretório "Vulnerabilidades Exploradas Conhecidas" da CISA, que o considera um vetor de ataque comum para invasores mal-intencionados e representa um risco significativo para as agências federais e para o ambiente empresarial em geral.
A CISA apontou no comunicado que se trata de uma vulnerabilidade na qual “o kernel Linux transfere recursos incorretamente entre diferentes domínios de segurança”. Se explorado, pode fazer com que as permissões locais sejam elevadas ao nível raiz. Este tipo de escalonamento local de privilégios é particularmente perigoso em ambientes de carga de trabalho altamente conteinerizados e multilocatários baseados nessas distribuições, pois assim que um invasor obtém acesso inicial ao sistema, há uma oportunidade de violar ainda mais o isolamento e assumir o controle de todo o nó.
A Red Hat emitiu um comunicado de segurança no mês passado para fornecer uma explicação técnica mais detalhada deste problema. De acordo com o anúncio, a vulnerabilidade aparece na interface do algoritmo de criptografia algif_aead no kernel Linux. Devido à introdução de uma implementação incorreta de "operação no local", o mapeamento de memória dos dados de origem e dos dados de destino é inconsistente. Como resultado, podem ocorrer comportamentos inesperados ou problemas de integridade de dados durante a operação de criptografia, afetando assim a confiabilidade da comunicação criptografada.
Os pesquisadores de segurança da Microsoft rastrearam ainda a falha lógica no subsistema de criptografia do kernel e apontaram que o problema se concentrava em uma otimização do módulo algif_aead na estrutura AF_ALG introduzida em 2017. As "otimizações no local" na época faziam com que o kernel reutilizasse incorretamente a memória de origem como um buffer de destino ao executar certas operações criptográficas. Um invasor pode explorar a interação entre a interface do soquete AF_ALG e a chamada do sistema splice() para obter uma gravação controlada de 4 bytes no cache da página do kernel, adulterando com precisão estruturas de dados críticas.
Os pesquisadores disseram que esse processo de ataque pode ser implementado por meio de um script Python e modificado para arquivos binários de alto privilégio, como /usr/bin/su, para que possa ser executado diretamente com privilégios de root quando executado. Ao contrário de muitas explorações de kernel que dependem de condições de corrida, a exploração desta vulnerabilidade não depende de corridas de tempo, mas pode ser reproduzida de forma estável e de maneira determinística por meio de um pequeno script de aproximadamente 732 bytes. Esta vulnerabilidade é considerada um meio "altamente confiável" de escalonamento de privilégios porque pode ser explorada com sucesso em uma variedade de distribuições principais com poucas modificações.
Em um ambiente de computação em nuvem, os riscos trazidos por esse recurso são ainda maiores. Muitos contêineres compartilham o mesmo kernel host. Uma vez que esta vulnerabilidade exista na versão do kernel subjacente, uma violação de um único contêiner pode se espalhar para todo o nó, sendo completamente assumido. A Microsoft alerta que mesmo que um invasor inicialmente tenha acesso limitado, como fazer login como um usuário de baixo privilégio via SSH ou obter oportunidades de execução em um pipeline de CI/CD, essa vulnerabilidade pode ser suficiente para escalar para privilégios de root, violar limites de contêineres, permitir movimentação lateral e infectar outras cargas de trabalho em um ambiente multilocatário.
Atualmente, as atividades de utilização observadas publicamente estão principalmente na fase de prova de conceito (PoC) e não foram transformadas em armas e proliferaram em grande escala. No entanto, a Microsoft lançou assinaturas de detecção por meio do Microsoft Defender XDR para ajudar organizações de todos os tipos a identificar possíveis tentativas de exploração e sistemas comprometidos. A Microsoft também incentiva a equipe de segurança a concluir as atualizações do kernel o mais rápido possível após cada lançamento fornecer os patches correspondentes para eliminar fundamentalmente os riscos.
Até que um patch esteja totalmente implementado, a Microsoft recomenda tomar uma série de medidas de mitigação, incluindo a desativação temporária dos recursos criptográficos relacionados afetados ou a prevenção da criação de soquetes AF_ALG para reduzir a exposição à superfície de ataque. Além disso, as políticas de controlo de acesso devem ser reforçadas para limitar o âmbito das contas que podem executar código arbitrário no sistema, e o isolamento da rede deve ser utilizado para reduzir a possibilidade de propagação lateral no ambiente interno após um único ponto de comprometimento. Para nós com sinais suspeitos, a recuperação e reconstrução rápidas, juntamente com auditoria de log e detecção de comportamento, também são meios importantes para reduzir riscos a longo prazo.
