Uma nova vulnerabilidade de escalada local de privilégios no kernel Linux acendeu o alerta entre distribuições e equipes de segurança. A falha, rastreada como CVE-2026-31431 e apelidada de Copy Fail, afeta o template criptográfico authencesn e permite que um usuário local sem privilégios grave quatro bytes controlados no page cache de qualquer arquivo legível do sistema.

O impacto técnico é significativo porque o kernel utiliza o page cache ao carregar binários. Na prática, ao modificar a cópia em cache de um arquivo, o invasor consegue alterar o comportamento de execução de um binário sem modificar diretamente o arquivo no disco. Isso também evita a ativação de mecanismos de detecção baseados em eventos do sistema de arquivos, como inotify, dificultando a visibilidade por ferramentas que monitoram apenas alterações persistentes.

Segundo a Theori, empresa que publicou a análise da falha, um exploit de prova de conceito com apenas 10 linhas em Python e 732 bytes seria capaz de editar um binário setuid para obter privilégios de root em praticamente todas as principais distribuições Linux lançadas desde 2017. A técnica lembra vulnerabilidades históricas de escalada local, como Dirty Cow e Dirty Pipe, mas os pesquisadores afirmam que o Copy Fail não depende de uma condição de corrida e possui aplicação mais ampla.

A falha não pode ser explorada remotamente de forma isolada. No entanto, seu risco aumenta consideravelmente quando combinada com outros vetores, como execução remota de código em uma aplicação web, comprometimento via SSH, pipelines de CI/CD maliciosos ou ambientes que executam código não confiável. Por isso, o alerta é especialmente relevante para sistemas Linux multi-tenant, containers com kernel compartilhado, runners de CI e nós Kubernetes.

O ponto mais sensível é o compartilhamento do page cache entre o host e ambientes containerizados. Em determinados cenários, a vulnerabilidade pode funcionar como uma primitiva para escape de container, permitindo que um invasor que já tenha acesso limitado a um ambiente isolado avance para privilégios mais elevados no host.

Distribuições como Debian, Ubuntu e SUSE já começaram a liberar correções. A Red Hat, que inicialmente indicou que adiaria o patch, revisou sua orientação e passou a acompanhar outras distribuições na correção rápida do problema. A vulnerabilidade recebeu classificação de severidade alta, com pontuação CVSS de 7,8.

A descoberta foi feita por Taeyang Lee, pesquisador da Theori, com apoio do Xint Code, ferramenta de varredura de segurança baseada em inteligência artificial da empresa. O caso reforça uma tendência crescente no setor: o uso de IA para identificar vulnerabilidades em larga escala, o que tem aumentado o volume de relatórios enviados a fornecedores e programas de bug bounty.

Esse movimento já vem causando impacto no ecossistema de segurança. A Microsoft relatou recentemente um dos maiores volumes de correções de sua história, enquanto o programa Internet Bug Bounty suspendeu temporariamente premiações para avaliar como lidar com a explosão de submissões apoiadas por ferramentas de IA. O Copy Fail mostra que a automação pode acelerar descobertas importantes, mas também pressiona empresas e mantenedores a responder com mais rapidez.