Threats
A vulnerabilidade ‘Dirty Flag’, que permite escalar privilégios para root em Linux, poderá já estar a ser explorada em ataques
11/05/2026
|
Uma nova vulnerabilidade de elevação de privilégios em sistemas Linux, denominada ‘Dirty Flag’ ou ‘Copy Fail 2’, poderá já estar a ser explorada em ataques reais, segundo alertam investigadores e a Microsoft. A falha resulta da combinação de duas vulnerabilidades, identificadas como CVE-2026-43284 e CVE-2026-43500, permitindo que utilizadores sem privilégios obtenham acesso root em sistemas afetados. O investigador Hyunwoo Kim divulgou detalhes técnicos e código proof-of-concept (PoC) após a vulnerabilidade ter sido tornada pública antes da disponibilização de patches oficiais. Segundo o investigador, o exploit apresenta um elevado grau de fiabilidade. “Trata-se de uma falha lógica determinística que não depende de condições de corrida, não provoca kernel panic em caso de falha e apresenta uma taxa de sucesso muito elevada”, explica o investigador. As vulnerabilidades afetam os componentes xfrm-ESP (IPsec) e RxRPC do kernel Linux, impactando várias distribuições principais. A ameaça é considerada particularmente grave em sistemas que não utilizam containers, embora os especialistas admitam que a vulnerabilidade possa também permitir container escape em determinados cenários. O ‘Dirty Flag’ apresenta semelhanças com vulnerabilidades anteriores como ‘Dirty Pipe’, descoberta em 2022, e ‘Copy Fail’, recentemente identificada e já explorada em ataques. A Microsoft revelou que os seus sistemas Defender detetaram atividade limitada que poderá indicar exploração tanto de ‘Dirty Flag’ como de ‘Copy Fail’. Segundo a empresa, os atacantes exploram inicialmente acessos comprometidos, incluindo contas SSH, web shells em aplicações expostas à Internet, abuso de contas de serviço ou falhas em ambientes de contentores, para depois executarem a escalada de privilégios. A Microsoft observou ainda alterações em ficheiros de autenticação LDAP da plataforma GLPI, atividades de reconhecimento do sistema e manipulação de ficheiros de sessão PHP, sugerindo tentativas de acesso a dados sensíveis e interrupção de sessões ativas. Várias distribuições Linux já começaram a disponibilizar patches e medidas de mitigação, incluindo Red Hat, Ubuntu, Fedora, AlmaLinux e Amazon Linux. Os especialistas recomendam a aplicação imediata das atualizações de segurança e a monitorização de sinais de exploração em sistemas críticos. |
Receba todas as novidades na sua caixa de correio!
ITS CONF
Nuno Reis: “Se tivesse 30 minutos para atacar a vossa empresa, não começava pela infraestrutura” (com vídeo)
NEWS
Cibersegurança ganha peso geopolítico global
NEWS
CNCS lança nova edição do Relatório Cibersegurança em Portugal
ITS CONF
Romeu Rocha: “Este caminho do zero trust até 100% trust, é o único que existe para nos protegermos” (com vídeo)
ANALYSIS
Banca europeia exposta a risco de terceiros
THREATS
Vulnerabilidade no cPanel compromete mais de 40 mil servidores
THREATS
Falha ‘Copy Fail’ no Linux já está a ser explorada
THREATS
Chrome e Firefox corrigem falhas críticas
THREATS
Falha crítica no GitHub expôs repositórios
THREATS
Ciberataque combina email bombing com malware ‘Snow’
