Vulnerabilidade no kernel Linux possibilita que qualquer usuário sem privilégios assuma controle total do sistema com um script de apenas 732 bytes; correção já foi implementada.
Uma falha de segurança no Linux permite que qualquer pessoa com acesso básico a um computador consiga obter controle total sobre a máquina. Essa brecha foi identificada durante testes realizados pela empresa de segurança Theori.
A vulnerabilidade, chamada Copy Fail e designada como CVE-2026-31431, tem quase uma década e afeta praticamente todas as distribuições Linux lançadas desde 2017. Um código de ataque já está acessível ao público.
O Linux é o sistema operacional que sustenta grande parte da internet. Ele opera em servidores corporativos, serviços em nuvem e sistemas bancários ao redor do mundo. A vulnerabilidade afeta todas as principais distribuições que foram testadas, como Ubuntu, Red Hat, Amazon Linux e SUSE.
O que a falha permite
Normalmente, um usuário comum em um sistema Linux não tem permissões para modificar arquivos do sistema ou realizar ações administrativas. Essa é uma proteção essencial. Um funcionário sem privilégios não deveria, por exemplo, conseguir instalar programas ou acessar dados de outros usuários.
Empresa brasileira teria sido utilizada em ataques DDoS contra provedores nacionais, afirma reportagem
A vulnerabilidade Copy Fail quebra essa proteção. Com um simples script em Python, um usuário sem privilégios consegue escalar seu acesso até o nível máximo do sistema, conhecido como root. Isso é comparável a entrar em um prédio com um crachá de visitante e sair com a chave-mestra de todos os andares.
Como o ataque funciona, em termos simples
Quando o Linux acessa um arquivo no disco, ele guarda uma cópia desse arquivo na memória RAM para permitir acessos futuros mais ágeis. Essa área é chamada de page cache e é a versão que o sistema utiliza ao abrir ou executar um programa.
A brecha permite que um atacante modifique essa cópia em memória. O arquivo no disco permanece inalterado, mas a versão que o sistema utilizará fica comprometida. Se o arquivo afetado for um programa com permissões de administrador, como o comando su, o atacante pode injetar instruções maliciosas nessa cópia e, em seguida, executar o programa. O sistema seguirá as instruções injetadas, conferindo assim controle total ao atacante.
O ataque pode ocorrer sem travar o sistema, sem múltiplas tentativas e sem deixar vestígios nos arquivos do disco. Ferramentas de segurança convencionais que analisam a integridade dos arquivos não conseguem identificar anomalias, pois elas comparam o arquivo no disco, que permanece intacto.
Banco Central lança ferramenta gratuita para bloqueio de abertura de contas em seu nome
O problema vai além de um único computador
A vulnerabilidade também impacta ambientes de nuvem e containers, tecnologia adotada por empresas para rodar múltiplos serviços de forma isolada em um único servidor físico.
A vulnerabilidade Copy Fail consegue romper esse isolamento, permitindo que um atacante dentro de um container afete outros containers ou até mesmo o servidor de hospedagem. A Theori planeja detalhar esse vetor de ataque em um próximo artigo.
A correção já existe
A Theori notificou a equipe de segurança do kernel Linux sobre a falha em 23 de março. Em uma semana, um patch já estava disponível. A correção foi lançada nas versões 6.18.22, 6.19.12 e 7.0 do kernel, e as principais distribuições já estão promovendo a atualização.
Para aqueles que ainda não receberam a atualização, é possível desativar manualmente o componente vulnerável via terminal, bloqueando assim o caminho de ataque sem comprometer o funcionamento geral do sistema.
Hackers da Coreia do Norte usaram Claude para infectar pacote NPM com vírus
A Theori recomenda que a atualização seja tratada como uma prioridade, especialmente para servidores compartilhados, ambientes em nuvem e qualquer infraestrutura que execute código de terceiros.
Siga a TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e no nosso canal no YouTube.