bug CVE-2026-31431 dá privilégios de root em quase todos os Linux

Uma nova falha crítica de segurança, batizada de Falha na cópia (CVE-2026-31431)foi descoberta afetando praticamente todas as distribuições Linux lançadas desde 2017. A vulnerabilidade permite que usuários comuns obtenham privilégios de raiz de forma simples e automatizada.

O exploit que os scanners não enxergam

O que torna o Copy Fail especialmente problemático não é só a amplitude do impacto, mas a forma como ele opera abaixo do radar das ferramentas de monitoramento convencionais. O engenheiro de DevOps Jorijn Schrijvershof explica em detalhes: a corrupção ocorre no cache de página sem jamais marcar a página como suja. O mecanismo de write-back do kernel, portanto, nunca grava os bytes modificados de volta ao disco. O resultado prático é que ferramentas como ASSISTENTE, Tripwire e OSSECque trabalham comparando checksums em disco, simplesmente não detectam nada. Para ambientes corporativos que dependem dessas soluções como linha de defesa, é uma notícia ruim.

O vetor de ataque envolve o subsistema de criptografia do Linux e a forma como a syscall emenda() pode entregar referências de cache de página de arquivos somente-leitura, incluindo binários se acalmoupara as listas de dispersão de transmissão de crypto. Em outras palavras, o exploit aproveita uma interação entre primitivas legítimas do kernel para obter escrita indireta em regiões que deveriam ser intocáveis para usuários sem privilégio.

IA vasculhou o kernel e encontrou em uma hora

A descoberta tem um detalhe que interessa ao ecossistema de segurança além da vulnerabilidade em si: o pesquisador Taeyang Lee, da Theori, utilizou a ferramenta de análise de código Código Xint IA da própria empresa para conduzir uma varredura automatizada no subsistema criptografia/ do kernel. Com um prompt direcionado para examinar todos os caminhos de código acessíveis via syscalls de userspace, a IA identificou várias vulnerabilidades em aproximadamente uma hora. O Copy Fail foi uma delas. Não é a primeira vez que ferramentas de análise estática assistida por IA encontram falhas críticas em código de baixo nível, mas a velocidade e a profundidade do achado reforçam uma tendência que os times de segurança ofensiva já estão explorando antes que os defensores se adaptem.

Patch no mainline, distribuições correndo atrás

Uma correção foi integrada ao kernel Linux principal em 1º de abril. O problema é que a Theori publicou os detalhes do exploit antes que todas as distribuições afetadas conseguissem disponibilizar seus próprios patches. Arch Linux, Red Hat Fedora e Amazon Linux já liberaram as atualizações. Muitas outras, no entanto, ainda não tinham correção disponível no momento da divulgação, o que significa que a janela de exposição está aberta para uma parcela relevante do parque instalado.