Die Cybersicherheitsgemeinschaft hat eine besonders kritische Schwachstelle im Kern des Linux-Betriebssystems entdeckt. Es handelt sich um... Kopierfehler, registriert als CVE-2026-31431, eine Sicherheitslücke, die jahrelang unbemerkt blieb und es jedem lokalen Benutzer ohne entsprechende Berechtigungen ermöglicht, buchstäblich die vollständige Kontrolle über die Maschine zu übernehmen.
Dieses Urteil, das Auswirkungen hat fast alle modernen Linux-Distributionen verwendenDiese Schwachstelle hat bei Systemadministratoren, Cloud-Anbietern und Sicherheitsexperten Alarm ausgelöst. Ihre Kombination aus Einfachheit, Portabilität und Schwierigkeit, sie zu entdecken, macht sie zu einer der schwerwiegendsten lokalen Schwachstellen zur Rechteausweitung der letzten Zeit.
Was ist Copy Fail (CVE-2026-31431) und warum ist es so schwerwiegend?
Kopierfehler (CVE-2026-31431) ist a lokale Privilege Escalation-Schwachstelle (LPE) Dies ermöglicht es einem Benutzer mit grundlegenden Zugriffsrechten auf den Rechner – sei es ein reguläres Systemkonto, ein Anwendungsprozess oder sogar ein Benutzer innerhalb eines Docker- oder Kubernetes-Containers – Root-Rechte zu erlangen. Ein direkter Fernzugriff ist nicht erforderlich; die Möglichkeit, Code auf dem System auszuführen, genügt.
Die Sicherheitslücke besteht seit 2017 im Linux-Kernel und betrifft alle Versionen, die zwischen diesem Jahr und der Veröffentlichung des offiziellen Patches kompiliert wurden. Das bedeutet, dass weit verbreitete Distributionen als UbuntuDebian, SUSE, Red Hat Enterprise Linux (RHEL), Amazon Linux oder bestimmte Versionen von WSL2 sind oder waren vom Problem betroffen, insbesondere auf gemeinsam genutzten Servern, CI/CD-Umgebungen und öffentlichen Clouds.
Die Gefahr liegt weniger darin, dass sie aus der Ferne und aus dem Nichts erzeugt werden kann, sondern darin, dass jedes vorherige Versagen, das die Codeausführung ermöglichtEine anfällige Website, gestohlene Zugangsdaten oder ein böswilliger Insider können in Kombination mit Copy Fail dazu führen, dass mit einem extrem kleinen und zuverlässigen Exploit Root-Rechte erlangt werden.
Der Ursprung des Fehlers, der als Copy Fail bekannt ist: eine „harmlose“ Änderung im Jahr 2017
Die technischen Wurzeln von Copy Fail lassen sich auf ein Änderung, die 2017 im Kernel eingeführt wurde, das in verschiedenen Analysen als der Commit identifiziert wurde, der "In-Place"-Operationen für bestimmte kryptografische Funktionen im Modul hinzufügte algif_aeadDiese Modifikation zielte darauf ab, die Leistung des kryptografischen Subsystems zu verbessern, führte aber zu einem logischen Fehler bei der Pufferverwaltung.
Das betroffene Modul verwendet die kryptografische Vorlage authencesn, das HMAC-SHA256 mit AES-CBC-Verschlüsselung kombiniert.In diesem Kontext nutzt der Algorithmus einen Teil des zugewiesenen Speichers als temporären Arbeitsbereich. Das Problem besteht darin, dass er während der Ausführung 4 Bytes außerhalb der erwarteten Puffergrenzen direkt in eine Seite des Dateicaches des Systems schreibt.
Dieser kleine, kontrollierte Überlauf reicht einem Angreifer aus, um Ändere 4 bestimmte Bytes des Seitencaches einer beliebigen lesbaren Dateieinschließlich Binärdateien, die mit gekennzeichnet sind setuid die mit Superuser-Rechten ausgeführt werden, wie zum Beispiel /usr/bin/su o sudoDer entscheidende Punkt ist, dass die Änderung nur im Arbeitsspeicher und nicht in der auf der Festplatte gespeicherten Datei erfolgt.
So funktioniert Copy Fail: 4 Bytes, die alles verändern
Die Schwachstelle beruht auf zwei zentralen Kernel-Elementen: die kryptografische Schnittstelle AF_ALG und der Systemaufruf splice()AF_ALG erlaubt es Benutzerprozessen, ohne besondere Berechtigungen auf das kryptografische Subsystem des Kernels zuzugreifen; dies ist in praktisch allen Distributionen standardmäßig aktiviert.
Die Sicherheitslücke, deren ursprünglicher Machbarkeitsnachweis ungefähr 732 Bytes Python-Code und etwa zehn ZeilenEs öffnet einen AF_ALG-Socket und verknüpft ihn mit dem anfälligen AEAD-Modus. Dann verwendet es splice() um Seiten aus dem Dateicache (z. B. Binärseiten) direkt zuzuordnen /usr/bin/su) innerhalb der Datenstruktur, die der Kernel als Ziel einer kryptografischen Operation verwenden wird.
Während des kryptographischen Prozesses wird der Algorithmus authencesn Verwenden Sie den Ausgabepuffer als temporären Bereich und führt einen 4-Byte-Schreibvorgang außerhalb des erwarteten Bereichs durch. In diesem Szenario landet dieser Schreibvorgang auf der Cache-Seite der ausgewählten Datei. Der Angreifer kontrolliert die Position (Offset) und den Wert dieser 4 Bytes mithilfe der Anforderungsparameter und der authentifizierten Zusatzdaten (AAD).
Durch wiederholtes Durchlaufen des Vorgangs so oft wie nötig ist es möglich, durch das Einfügen kleiner Teile von Shellcode oder durch die Modifizierung kritischer Anweisungen innerhalb der In-Memory-Version der Binärdatei mit setuidWenn das Programm schließlich ausgeführt wird (zum Beispiel mit execve("/usr/bin/su");) Der Kernel lädt den Inhalt aus dem Cache anstatt von der Festplatte und führt so den geänderten Code mit Root-Rechten aus.
Ein heimtückischer Angriff: Änderungen im Arbeitsspeicher, Dateien bleiben auf der Festplatte unverändert.
Eines der beunruhigendsten Merkmale von Copy Fail ist, dass Korruption kennzeichnet die Datei niemals als geändertDer veränderte Seitencache wird nicht als „geändert“ markiert, daher schreibt der Kernel diese Änderungen nicht zurück auf die Festplatte. Die physisch gespeicherte Binärdatei bleibt intakt und besteht alle Integritätsprüfungen, die auf der ruhenden Datei basieren, problemlos.
Das bedeutet, dass nach einem Systemneustart oder wenn die Datei gezwungen wird, von der Festplatte neu zu laden (Aufgrund von Speichermangel oder anderen Umständen) verschwindet die Spur des Eingriffs. Die Modifikation ist nur im Arbeitsspeicher vorhanden, solange die Cache-Seite verwendet wird, was die forensische Analyse nach dem Angriff erheblich erschwert.
Darüber hinaus nutzt der Exploit völlig legitime Systemaufrufe. als socket() mit AF_ALG, splice() y execve() von üblichen Binärdateien, die sich nahtlos in den normalen Systembetrieb einfügen. Es gibt keine komplexen Race Conditions oder die Notwendigkeit, Speicheradressen zu erraten, wodurch die technische Komplexität für die Ausnutzung reduziert wird.
Auswirkungen von Kopierfehlern auf Server, Cloud und Container
Der Umfang von Kopierfehlern reicht weit über einen einzelnen Rechner hinaus. Da Der Kernel-Seitencache wird von allen Prozessen gemeinsam genutzt. Bei einem Systemausfall werden die für Technologien wie Docker, LXC oder Kubernetes typischen Isolationsbarrieren durchbrochen, sofern das betroffene Modul im Host-Kernel vorhanden ist.
In einem typischen Webhosting-Szenario könnte ein einzelner Kunde, der eine kleinere Sicherheitslücke in seiner eigenen Anwendung ausnutzt, sich darauf verlassen, dass Copy Fail den gesamten physischen Server gefährdet. und auf die Daten oder Systeme anderer Clients zuzugreifen, die auf demselben Rechner gehostet werden. Ähnliches geschieht in gemeinsam genutzten CI/CD-Umgebungen und öffentlichen Clouds, wo mehrere nicht vertrauenswürdige Workloads auf demselben Host ausgeführt werden.
In kritischen Rechenzentren, einschließlich Banken, Telekommunikationsbetreiber und Cloud-Anbieter, die Linux als Basis verwendenDie Schwachstelle beeinträchtigt die Trennung zwischen Containern und dem Hostsystem. Ein Benutzer, der scheinbar nur Zugriff auf einen Kubernetes-Pod hat, könnte potenziell die Kontrolle über den Knoten und damit über den gesamten Cluster erlangen, wenn nicht die entsprechenden Maßnahmen ergriffen werden.
Betroffene Verbreitungsgebiete und Schweregrad
Analysen verschiedener Sicherheitsunternehmen deuten darauf hin, dass Nahezu alle Linux-Distributionen, die ab 2017 bis zur Behebung des Fehlers kompiliert wurden, waren betroffen. Sie sind angreifbar, wenn sie das Modul einbinden. algif_aead und die AF_ALG-Schnittstelle aktiviert ist. Dazu gehören Ubuntu, RHEL, SUSE, Amazon Linux, Debian und einige WSL2-Builds, die Kernel mit AF_ALG-Unterstützung verwenden.
Die am stärksten gefährdeten Systeme sind diejenigen, die Sie verwenden Kernel innerhalb des betroffenen Bereichs ohne aktuelle Sicherheitspatches.Diese Schwachstelle tritt besonders häufig auf Mehrbenutzerservern, Shared Hosting-Plattformen und Systemen auf, auf denen sich mehrere Clients einen physischen Rechner teilen. Sie erhielt einen CVSS-Wert von 7,8 von 10 Punkten und wird damit als „hochriskant“ eingestuft.
Hersteller und Händler haben unterschiedlich schnell reagiert. Debian, Ubuntu und SUSE haben Updates schnell veröffentlicht.Andere Anbieter wie Red Hat verzögerten zunächst die Veröffentlichung des Patches, schlossen sich aber aufgrund des Drucks aus der Community und des Ausmaßes des Problems innerhalb weniger Stunden an.
Die Rolle der künstlichen Intelligenz bei der Entdeckung
Einer der auffälligsten Aspekte des Copy-Fail-Falls ist, dass Es blieb trotz umfassender Kernel-Überprüfungen fast ein Jahrzehnt lang unentdeckt.Der Fehler wurde dank Codeanalyse-Tools entdeckt, die auf künstlicher Intelligenz basieren und von Sicherheitsforschungsteams wie Xint Code und Theori eingesetzt werden.
Die Forscher verwendeten KI-gestützte, automatisierte Scanlösungen, die den Code Zeile für Zeile überprüfen Sie suchen nach anomalen Verhaltensmustern in komplexen Teilsystemen wie der Kryptographie. Dieser Ansatz ermöglichte es ihnen, den logischen Fehler in der Vorlage zu lokalisieren. authencesn und in der Art und Weise, wie es mit AF_ALG und den im Jahr 2017 eingeführten Optimierungen kombiniert wurde.
Ohne diese automatisierte Unterstützung wäre die Kombination aus Veränderungen, die sich über Jahre angesammelt haben, Algorithmenentwicklung und Besonderheiten der Speicherverwaltung Dies hätte es einem menschlichen Team extrem erschwert, die Schwachstelle zu erkennen, was die Vorstellung bestärkt, dass KI sowohl bei der Suche nach Fehlern als auch beim Schutz kritischer Systeme zu einem Schlüsselelement wird.
Dringende Abschwächungs- und Ausbesserungsmaßnahmen
Die von Experten empfohlene Antwort ist eindeutig: Aktualisieren Sie den Linux-Kernel auf eine Version, die den entsprechenden Patch enthält.Die wichtigste Änderung, die in den stabilen Kernel-Branches als Commit identifiziert wurde a664bf3d603dkorrigiert die Puffervalidierung in den "in-place" kryptografischen Operationen des Moduls. algif_aead und macht die vor Jahren eingeführte problematische Optimierung rückgängig.
In Produktionsumgebungen, in denen Ein Neustart und ein sofortiges Update sind möglicherweise nicht möglich. (Zum Beispiel in Rechenzentren mit kritischen Diensten, die rund um die Uhr laufen) werden temporäre Maßnahmen empfohlen. Dazu gehört die Deaktivierung der Last des anfälligen Moduls durch Hinzufügen von Regeln zur Konfiguration. modprobewie man zuordnet algif_aead (oder in einigen Fällen AF_ALG) in eine harmlose Binärdatei, um deren Verwendung zu verhindern und das Modul herunterzuladen mit rmmod falls es bereits geladen ist.
Einige Lieferanten haben für Hochrisikoumgebungen Folgendes vorgeschlagen: Die kryptografische Schnittstelle AF_ALG vollständig blockieren über Profile seccomp oder andere Sicherheitsmaßnahmen. Diese Maßnahme ist drastischer und kann legitime Anwendungen beeinträchtigen, die auf diese API angewiesen sind. Daher sollte sie in jeder Organisation sorgfältig geprüft werden.
Im speziellen Fall bestimmter verwendeter Ubuntu-Versionen wurden Konfigurationsbeispiele verbreitet für Deaktivieren Sie die zugehörigen Module, bis das offizielle Update verfügbar ist.einschließlich der Regeln von modprobe.d und Befehle zur Überprüfung des CVE-Status mithilfe von Systemtools, wie z. B. sudo pro fix CVE-2026-31431.
Wie man Angriffsversuche auf Linux-Systemen erkennt
Obwohl die Sicherheitslücke behoben wurde, wollen viele Organisationen prüfen, ob sie Ausbeutungsversuchen ausgesetzt waren oder Frühwarnsysteme einrichten. Einige Sicherheitsunternehmen haben detaillierte Leitfäden zur Erkennung verdächtigen Verhaltens im Zusammenhang mit Copy Fail veröffentlicht, sowohl durch auditd wie beispielsweise SIEM-Lösungen.
Einer der vorgeschlagenen Ansätze besteht aus Monitor Lesezugriffe auf Binärdateien mit setuid (Wie z su, sudo, passwd, gpasswd, newgrp, chfn, chsh, mount, umount, fusermount3usw.), wenn sie von Prozessen ausgeführt werden, die nicht auf üblichen Pfaden liegen, wie z. B. /usr/bin o /binoder wenn der aufrufende Prozess ein Interpreter wie Python ist.
Eine Überwachung wird ebenfalls empfohlen. die Verwendung des Anrufs splice() von nicht privilegierten Benutzern unmittelbar nach dem Lesen einer dieser Binärdateien mit setuidsowie die Erstellung von Sockets mit dem Parameter SOCK_STREAM verbunden mit AF_ALG (Dezimalwert 26) aus interaktiven Sitzungsbenutzerkennungen (UIDs größer oder gleich 1000).
Ein weiteres Warnsignal ist das Auftreten von Befehlszeichenketten des Typs sh -c -- su oder andere Kombinationen, bei denen ein Python-Skript eine Shell startet um privilegierte Binärdateien ohne klare Begründung in der überwachten Umgebung auszuführen. Fortschrittliche Erkennungs- und Reaktionslösungen wie Kaspersky EDR Expert beinhalten bereits spezifische Regeln (zum Beispiel, possible_lpe_by_python o possible_copy_fail_cve_2026_31431) um diese Muster zu identifizieren.
Erkennung mithilfe von SIEM und fortschrittlichen Sicherheitstools
In Organisationen mit komplexen Infrastrukturen, insbesondere im Finanz-, Industrie- oder öffentlichen Verwaltungssektor, Der Einsatz von SIEM-Plattformen ist der Schlüssel zur Zentralisierung von Sicherheitsereignissen. Im Zusammenhang mit Kopierfehlern haben die Hersteller Beispielregeln veröffentlicht. auditd die es ermöglichen, relevante Anrufe aufzuzeichnen.
Die Empfehlungen beinhalten Regeln für die Nutzung überwachen splice() von Benutzern ohne Root-Rechte beim Bearbeiten von Dateideskriptoren, die mit Binärdateien verknüpft sind setuidsowie die Erstellung von AF_ALG-Sockets durch Angabe des entsprechenden Parameters in Dezimalzahlen. Diese Ereignisse können im SIEM korreliert werden, um Warnmeldungen auszulösen, wenn verdächtige Sequenzen erkannt werden.
Neben Regeln, die auf Systemaufrufen basieren, wird besonderer Wert gelegt auf Überwachung auf ungewöhnliche Änderungen bei Benutzerkennungen (UIDs) innerhalb derselben Prozesskette, insbesondere wenn ein Kindprozess ohne Zwischeninstanz mehr Berechtigungen erbt als erwartet. setuid oder ein expliziter Aufruf an sudoDiese Überwachung kann dazu beitragen, nicht nur Kopierfehler, sondern auch andere Arten von lokalen Eskalationsschwachstellen zu erkennen.
Sicherheitsanbieter passen ihre Produkte entsprechend an. Neue Varianten des Exploits sind nun in Sprachen wie Go oder Rust verfügbar.wodurch die Abfolge der Systemaufrufe leicht verändert und versucht werden könnte, grundlegendere Erkennungsmechanismen zu umgehen.
Kopierfehler im Vergleich zu früheren Linux-Kernel-Schwachstellen
In der jüngeren Geschichte des Linux-Kernels traten weitere Schwachstellen zur Rechteausweitung auf, die ebenfalls den Seitencache ausnutzten, wie zum Beispiel Schmutzige Kuh oder schmutziges RohrCopy Fail wird in Bezug auf die Art der primitiven Fähigkeiten, die es dem Angreifer bietet, als eng verwandtes System betrachtet, arbeitet jedoch in einem anderen Subsystem und verfolgt einen etwas anderen Ansatz.
Während frühere Schwachstellen Sie erlaubten das Überschreiben von Daten in theoretisch schreibgeschützten Dateien. Um sensible Dateien auf der Festplatte zu verändern, konzentriert sich Copy Fail darauf, die Version im Speicher über den kryptografischen Pfad des Kernels zu beschädigen, ohne dass die Datei physisch verändert werden muss.
Dieser Unterschied macht Copy Fail besonders Attraktiv im Hinblick auf Unauffälligkeit und TragbarkeitDer Exploit ist klein, funktioniert auf verschiedenen Architekturen und Distributionen, nutzt keine Race Conditions und verwendet Schnittstellen, die üblicherweise standardmäßig aktiviert sind, wie beispielsweise AF_ALG. Für Angreifer stellt dies ein sehr praktisches Werkzeug dar, das sich in größere Exploit-Ketten einbinden lässt.
Empfehlungen für Unternehmen und Verwaltungen
Für Organisationen, die stark auf Linux angewiesen sind, beinhaltet der Fahrplan die Kombination von sofortigen technischen Maßnahmen mit einer strategischeren Überprüfung ihrer Sicherheitslage.
Kurzfristig ist es ratsam Inventarisierung aller Linux-Systeme im ProduktivbetriebPrüfen Sie die Kernelversion und installieren Sie alle vom jeweiligen Anbieter bereitgestellten Patches. Bei komplexen Neustarts sollten besonders exponierte Umgebungen priorisiert werden, beispielsweise Server mit Internetzugang, Multi-Tenant-Plattformen und Kubernetes-Knoten mit nicht vertrauenswürdigen Workloads.
Zur Verstärkung wird Folgendes empfohlen: Containerrichtlinien überprüfen Um den Zugriff auf Kernel-Schnittstellen wie AF_ALG einzuschränken, wenn dies nicht unbedingt erforderlich ist, sollten Sicherheitsprofile gehärtet werden (zum Beispiel mit seccomp oder AppArmor/SELinux) und die Anzahl der Binärdateien reduzieren mit setuid in den Systemen.
Parallel dazu ist es ratsam, dass die Sicherheitsteams Aktualisieren Sie Ihre Überwachungs- und Alarmierungsregeln um Angriffsmuster zu erkennen, die mit Copy Fail kompatibel sind, sowie um interne Tests mit den von den Forschern veröffentlichten öffentlichen Verifizierungstools durchzuführen, immer in kontrollierten Umgebungen und unter Einhaltung der internen Richtlinien der jeweiligen Organisation.
Copy Fail hat deutlich gemacht, dass selbst in einem so gründlich geprüften Ökosystem wie dem Linux-Kernel, Ein kleiner logischer Fehler kann jahrelang unentdeckt bleiben und zu einem ernsthaften Problem werden. Für Unternehmen und Regierungsbehörden weltweit erweist sich die Kombination aus schnellem Patching, gut durchdachten Gegenmaßnahmen, verbesserter Überwachung und dem zunehmenden Einsatz KI-gestützter Analysetools als der beste Weg, diese Schwachstellen zu beheben, ohne dabei die Wachsamkeit zu vernachlässigen.
