CVE-2026-31431: Vulnerabilidad Copy Fail permite escalada de privilegios a root en Linux

-

Microsoft Defender investiga una vulnerabilidad crítica que permite la escalada de privilegios a nivel de root en sistemas Linux, afectando a múltiples distribuciones y millones de clústeres Kubernetes.

Microsoft Defender está investigando una vulnerabilidad de escalada de privilegios local (CVE-2026-31431) que afecta a varias distribuciones importantes de Linux, incluyendo Red Hat, SUSE, Ubuntu y AWS Linux. Esta vulnerabilidad permite la escalada no autenticada de privilegios hasta el nivel root, impactando una gran porción de las cargas de trabajo cloud Linux y millones de clústeres Kubernetes. Aunque la explotación activa ha sido limitada y principalmente observada en pruebas de concepto (PoC), la amplia aplicabilidad de esta vulnerabilidad ha generado preocupación generalizada.

Dado el acceso a un PoC completamente funcional y la carrera para parchear los sistemas, Microsoft Defender está viendo actividad preliminar de prueba que probablemente resultará en una mayor explotación por parte de actores de amenazas en los próximos días, como también confirmó la reciente adición de esta vulnerabilidad al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA).

En este informe, Microsoft Defender comparte análisis detallados y perspectivas de detección para esta vulnerabilidad, así como recomendaciones de mitigación y orientación para caza de amenazas que los clientes pueden implementar.

La vulnerabilidad afecta prácticamente todas las distribuciones de Linux que ejecutan núcleos lanzados desde 2017 hasta que se aplican versiones parcheadas, incluyendo pero no limitándose a Ubuntu (por ejemplo, 24.04 LTS), Amazon Linux 2023, Red Hat Enterprise Linux (RHEL 10.1) y SUSE 16, así como otras distribuciones como Debian, Fedora y Arch Linux. La puntuación CVSS es de 7.8 (Alta), reflejando su impacto significativo.

Desde una perspectiva de evaluación del impacto, la explotación exitosa lleva a una escalada completa de privilegios root (alto impacto en confidencialidad, integridad y disponibilidad) y podría facilitar el escape de contenedores, compromisos multiinquilino y movimientos laterales dentro de entornos compartidos. Su fiabilidad, sigilo (modificación solo en memoria), y aplicabilidad cruzada la hacen particularmente peligrosa en entornos cloud, CI/CD y Kubernetes donde la ejecución de código no confiable es común.

Detalles técnicos

CVE-2026-31431 (también conocida como “Copy Fail”) es una vulnerabilidad crítica de escalada de privilegios local (LPE) que afecta al subsistema criptográfico del núcleo Linux. El tipo de vulnerabilidad es un error lógico dentro del módulo algif_aead del AF_ALG (API criptográfica en usuariospace), lo cual resulta en un manejo inadecuado de la memoria durante operaciones in-place.

El vector de ataque es local (AV:L) y requiere privilegios bajos sin interacción del usuario, significando que cualquier usuario no privilegiado en un sistema vulnerable puede intentar explotarlo. Críticamente, esta vulnerabilidad no se puede explotar remotamente aislada, pero se vuelve altamente impactante cuando está vinculada con un vector de acceso inicial como el acceso Secure Shell (SSH), la ejecución de trabajos maliciosos en CI o puntos de apoyo dentro de contenedores. La condición previa principal para la explotación es la capacidad de ejecutar código como usuario no privilegiado en un sistema que ejecuta un núcleo Linux vulnerable con el módulo criptográfico afectado habilitado.

Desde una perspectiva técnica, el error se origina desde una optimización in-place introducida en 2017, donde el núcleo reutiliza la memoria de origen como destino durante operaciones criptográficas. Abusando de la interacción entre la interfaz del socket AF_ALG y la llamada al sistema splice(), un atacante puede realizar una escritura controlada de 4 bytes en la caché de páginas del kernel de cualquier archivo legible. Esto permite corromper las representaciones en memoria de binarios privilegiados (por ejemplo, /usr/bin/su) sin modificar el archivo en disco.

Cuando se ejecuta, el binario modificado proporciona privilegios root, rompiendo efectivamente la barrera de privilegios del sistema. Notablemente, la explotación es determinista y no depende de condiciones raciales, pudiendo ser implementada en un script muy pequeño (~732 bytes) que funciona a través de distribuciones.

Versiones afectadas

La vulnerabilidad afecta prácticamente todas las distribuciones de Linux que ejecutan núcleos lanzados desde 1 de enero de 2017 hasta que se aplican versiones parcheadas, incluyendo pero no limitándose a Ubuntu (por ejemplo, 24.04 LTS), Amazon Linux 2023, Red Hat Enterprise Linux (RHEL 10.1) y SUSE 16, así como otras distribuciones como Debian, Fedora y Arch Linux.

Explotación activa

La explotación activa ha sido limitada y principalmente observada en pruebas de concepto (PoC). Sin embargo, la amplia aplicabilidad de esta vulnerabilidad ha generado preocupación generalizada. Microsoft Defender está viendo actividad preliminar de prueba que probablemente resultará en una mayor explotación por parte de actores de amenazas en los próximos días.

Recomendaciones

Se recomienda deshabilitar la función afectada, implementar aislamiento de red y aplicar controles de acceso. Microsoft Defender XDR clientes pueden referirse a la siguiente lista de detecciones aplicables. Microsoft Defender Vulnerability Management (MDVM) también muestra dispositivos en los entornos del cliente que podrían ser vulnerables a CVE-2026-31431.

Fuente:
https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

ANCI investiga presunta filtración masiva de datos que afectaría a la Tesorería General de la República, al Registro Civil y a la ClaveÚnica

-
Santiago, 2 de mayo de 2026. — La Agencia Nacional de Ciberseguridad (ANCI) confirmó que se encuentra analizando reportes de una presunta actividad maliciosa que comprometería sistemas de organismos del Estado y operadores de telecomunicaciones en Chile, luego de que la firma de inteligencia cibernética VECERT Analyzer alertara públicamente sobre una brecha de alto impacto dirigida contra la Tesorería General de la República (TGR), el Registro Civil y servicios asociados a la ClaveÚnica. El actor de amenaza identificado bajo el alias "rutify" habría difundido en grupos especializados de Telegram registros que sugieren la filtración de datos sensibles durante las últimas 48 horas, según la alerta original publicada por VECERT en su cuenta oficial de X. Qué denuncia el reporte de VECERT De acuerdo con el análisis técnico difundido por la firma, las muestras filtradas corresponderían a solicitud...
Leer más

Análisis de impacto: El Modelo Mythos y el Panorama de la Ciberseguridad

-
El 7 de abril de 2026, Anthropic anunció Claude Mythos Preview , su modelo de mayor capacidad hasta la fecha. Paralelamente, el análisis Eye on the Market de J.P. Morgan (Cembalest, 13 de abril) ofrece una lectura técnico-financiera sobre sus implicaciones. Este artículo sintetiza ambas fuentes con énfasis en los vectores de amenaza más relevantes para infraestructuras críticas y entornos empresariales. Evolución del Rendimiento Mythos supera a sus predecesores en el Epoch Capabilities Index —un índice compuesto por 40 benchmarks independientes— con una aceleración sin precedente en el histórico de la plataforma. Resulta especialmente notable que supere a versiones lanzadas hace apenas dos meses, señalando una compresión del ciclo de mejora. 73% Tasa de éxito en CTFs de nivel experto (AISI) 24/32 Pasos promedio completados en ataque corporativo simulado +1000 Zero-days identificados en semanas de us...
Leer más

Patch Tuesday: Vulnerabilidad de Ejecución Remota de Código en Microsoft Message Queuing

-
Imagen
La vulnerabilidad de Windows tiene un puntaje de severidad CVSS de 9.8/10 y puede ser explotada mediante paquetes maliciosos MSMQ especialmente diseñados. El gigante del software Microsoft instó el martes a los administradores de Windows a prestar atención urgente a los parches para una vulnerabilidad crítica de ejecución remota de código en el componente Microsoft Message Queuing (MSMQ). La vulnerabilidad, identificada como CVE-2024-30080 , tiene un puntaje de severidad CVSS de 9.8/10 y puede ser explotada por un atacante que envíe paquetes maliciosos MSMQ especialmente diseñados a un servidor MSMQ. "Esto podría resultar en la ejecución remota de código en el lado del servidor", advirtió el equipo de respuesta de seguridad de Redmond en un aviso. Microsoft dijo que el servicio de cola de mensajes de Windows necesita estar habilitado para que un sistema sea explotable por esta vulnerabilidad e instó a los clientes a verificar si hay un servicio en ejecución llamado Message Qu...
Leer más