Uma nova falha crítica de segurança, batizada de Copy Fail (CVE-2026-31431), foi descoberta afetando praticamente todas as distribuições Linux lançadas desde 2017. A vulnerabilidade permite que usuários comuns obtenham privilégios de root de forma simples e automatizada.
O exploit que os scanners não enxergam
O que torna o Copy Fail especialmente problemático não é só a amplitude do impacto, mas a forma como ele opera abaixo do radar das ferramentas de monitoramento convencionais. O engenheiro de DevOps Jorijn Schrijvershof explica em detalhes: a corrupção ocorre no page cache sem jamais marcar a página como suja. O mecanismo de writeback do kernel, portanto, nunca grava os bytes modificados de volta ao disco. O resultado prático é que ferramentas como AIDE, Tripwire e OSSEC, que trabalham comparando checksums em disco, simplesmente não detectam nada. Para ambientes corporativos que dependem dessas soluções como linha de defesa, é uma notícia ruim.
O vetor de ataque envolve o subsistema de criptografia do Linux e a forma como a syscall splice() pode entregar referências de page cache de arquivos somente-leitura, incluindo binários setuid, para as scatterlists de transmissão de crypto. Em outras palavras, o exploit aproveita uma interação entre primitivas legítimas do kernel para obter escrita indireta em regiões que deveriam ser intocáveis para usuários sem privilégio.
IA vasculhou o kernel e achou em uma hora
A descoberta tem um detalhe que interessa ao ecossistema de segurança além da vulnerabilidade em si: o pesquisador Taeyang Lee, da Theori, utilizou a ferramenta de análise de código Xint Code AI da própria empresa para conduzir uma varredura automatizada no subsistema crypto/ do kernel. Com um prompt direcionado para examinar todos os caminhos de código acessíveis via syscalls de userspace, a IA identificou múltiplas vulnerabilidades em aproximadamente uma hora. O Copy Fail foi uma delas. Não é a primeira vez que ferramentas de análise estática assistida por IA encontram falhas críticas em código de baixo nível, mas a velocidade e a profundidade do achado reforçam uma tendência que os times de segurança ofensiva já estão explorando antes que os defensores se adaptem.
Patch no mainline, distribuições correndo atrás
Uma correção foi integrada ao kernel Linux principal em 1º de abril. O problema é que a Theori publicou os detalhes do exploit antes que todas as distribuições afetadas conseguissem disponibilizar seus próprios patches. Arch Linux, Red Hat Fedora e Amazon Linux já liberaram as atualizações. Muitas outras, no entanto, ainda não tinham correção disponível no momento da divulgação, o que significa que a janela de exposição está aberta para uma parcela relevante do parque instalado.
