Escalonamento De Privilégios

Uma nova vulnerabilidade de escalonamento de privilégios no Linux, chamada PinTheft, foi recentemente corrigida, mas agora possui um exploit de prova de conceito (PoC) disponível publicamente. Essa falha, que afeta o kernel Linux, especificamente o módulo RDS (Reliable Datagram Sockets), permite que atacantes locais obtenham privilégios de root em sistemas Arch Linux. O exploit se aproveita de um erro no caminho de envio zerocopy do RDS, onde páginas de usuário são ‘pinned’ uma a uma. Se ocorrer uma falha de página, as páginas já ‘pinned’ são descartadas, permitindo que referências sejam roubadas. Para que a exploração seja bem-sucedida, o módulo RDS deve estar carregado, o que é padrão apenas no Arch Linux entre as distribuições mais comuns. Os usuários são aconselhados a instalar as atualizações do kernel imediatamente, mas uma mitigação temporária também foi sugerida. Essa vulnerabilidade se junta a uma série de outras falhas de escalonamento de privilégios que foram reveladas recentemente, algumas das quais estão sendo ativamente exploradas por agentes de ameaças. A situação é crítica, especialmente para usuários de distribuições Linux afetadas, que devem agir rapidamente para proteger seus sistemas.

Um novo código de exploração de prova de conceito (PoC) foi liberado para uma vulnerabilidade recentemente corrigida no kernel Linux, conhecida como DirtyDecrypt (ou DirtyCBC). Descoberta pela equipe de segurança Zellic e V12 em 9 de maio de 2026, a falha permite a escalada de privilégios locais (LPE) devido à ausência de uma proteção de copy-on-write (COW) na função rxgk_decrypt_skb. Essa vulnerabilidade, identificada como CVE-2026-31635, possui uma pontuação CVSS de 7.5 e afeta distribuições como Fedora, Arch Linux e openSUSE Tumbleweed. A falha permite que dados sejam escritos na memória de processos privilegiados, potencialmente comprometendo arquivos sensíveis como /etc/shadow e /etc/sudoers. Além disso, a vulnerabilidade é considerada uma variante de outras falhas que também permitem acesso root em sistemas vulneráveis. Em resposta a uma série de vulnerabilidades críticas, desenvolvedores do kernel Linux estão considerando a implementação de um “killswitch” para desativar funções vulneráveis até que correções adequadas sejam disponibilizadas. O Rocky Linux introduziu um repositório de segurança opcional para fornecer correções urgentes rapidamente, destacando a necessidade de uma resposta ágil a vulnerabilidades críticas.

Uma vulnerabilidade recentemente corrigida no módulo rxgk do kernel Linux, conhecida como DirtyDecrypt ou DirtyCBC, permite que atacantes obtenham acesso root em alguns sistemas Linux. Essa falha de segurança foi identificada e relatada pela equipe de segurança V12, que descobriu que se tratava de uma duplicata de uma vulnerabilidade já corrigida, a CVE-2026-31635, em 25 de abril. Para explorar essa vulnerabilidade, é necessário executar um kernel Linux com a opção de configuração CONFIG_RXGK, que habilita o suporte de segurança RxGK para o cliente do Andrew File System (AFS). Isso limita a superfície de ataque a distribuições Linux que seguem de perto as versões mais recentes do kernel, como Fedora, Arch Linux e openSUSE Tumbleweed. A equipe V12 testou a prova de conceito apenas no Fedora. Os usuários de Linux em distribuições potencialmente afetadas são aconselhados a instalar as atualizações mais recentes do kernel o mais rápido possível. Para aqueles que não podem aplicar o patch imediatamente, uma mitigação temporária é sugerida, embora isso possa afetar VPNs IPsec e sistemas de arquivos distribuídos AFS. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre a exploração ativa de outras vulnerabilidades semelhantes, como a Copy Fail, que também requer atenção imediata.

Recentemente, distribuições Linux começaram a lançar patches para uma nova vulnerabilidade de alta severidade, conhecida como Fragnasia (CVE-2026-46300). Essa falha de segurança, descoberta por William Bowling, permite que atacantes locais não privilegiados executem código malicioso com privilégios de root, explorando um erro lógico no subsistema XFRM ESP-in-TCP do Linux. O ataque é realizado através da escrita de bytes arbitrários no cache de página do kernel de arquivos somente leitura, sem a necessidade de condições de corrida. Bowling também revelou um exploit de prova de conceito que corrompe a memória do cache de página do binário /usr/bin/su, possibilitando acesso root em sistemas vulneráveis. A vulnerabilidade Fragnasia pertence à classe de vulnerabilidades Dirty Frag, que afeta todos os kernels Linux lançados antes de 13 de maio de 2026. Para mitigar os riscos, os usuários do Linux são aconselhados a aplicar atualizações de kernel imediatamente. Caso não consigam, devem remover módulos vulneráveis, embora isso possa impactar sistemas de arquivos distribuídos e VPNs IPsec. A divulgação da Fragnasia ocorre em um momento em que outras vulnerabilidades, como a Copy Fail, também estão sendo exploradas ativamente, aumentando a urgência para que as organizações atualizem suas defesas.

Uma nova variante da vulnerabilidade Dirty Frag, chamada Fragnesia, foi identificada no núcleo do Linux, permitindo que atacantes locais não privilegiados obtenham acesso root. Classificada como CVE-2026-46300, a vulnerabilidade apresenta um CVSS de 7.8 e está relacionada ao subsistema XFRM ESP-in-TCP do kernel. Descoberta por William Bowling da equipe de segurança V12, a falha permite a modificação de conteúdos de arquivos somente leitura na cache de página do kernel, utilizando uma lógica defeituosa que não requer condições de corrida. A Fragnesia é semelhante a outras vulnerabilidades recentes, como Copy Fail e Dirty Frag, e já possui um exploit de prova de conceito disponível. Várias distribuições Linux, incluindo Amazon Linux e Red Hat Enterprise Linux, emitiram avisos sobre a necessidade de aplicar patches. Embora não tenha sido observada exploração ativa até o momento, especialistas recomendam que usuários e organizações apliquem as correções imediatamente. Medidas de mitigação incluem desabilitar funcionalidades relacionadas ao IPsec e aumentar a vigilância sobre atividades anormais de escalonamento de privilégios.

Uma nova vulnerabilidade zero-day no Linux, chamada Dirty Frag, foi descoberta, permitindo que atacantes locais obtenham privilégios de root em diversas distribuições Linux com um único comando. O pesquisador de segurança Hyunwoo Kim revelou a falha, que foi introduzida há cerca de nove anos na interface algif_aead do kernel Linux. A Dirty Frag explora duas vulnerabilidades do kernel: a vulnerabilidade de gravação em cache de página xfrm-ESP e a vulnerabilidade de gravação em cache de página RxRPC, permitindo a modificação de arquivos do sistema protegidos na memória sem autorização. Essa falha é semelhante às vulnerabilidades Dirty Pipe e Copy Fail, mas utiliza um campo de fragmento de uma estrutura de dados diferente do kernel. Kim destacou que, ao contrário de outras vulnerabilidades, a Dirty Frag não depende de condições de corrida, o que aumenta sua taxa de sucesso. Até o momento, a vulnerabilidade não possui um ID CVE e afeta várias distribuições populares, como Ubuntu, Red Hat, CentOS e Fedora, que ainda não receberam patches. Para mitigar os riscos, os usuários do Linux podem desativar os módulos do kernel vulneráveis, embora isso possa quebrar VPNs IPsec e sistemas de arquivos distribuídos AFS. A descoberta ocorre em um momento em que as distribuições Linux ainda estão implementando correções para a vulnerabilidade Copy Fail, que também permite escalonamento de privilégios de root.

Uma nova vulnerabilidade de escalonamento de privilégios local (LPE) chamada Dirty Frag foi identificada no kernel Linux, afetando diversas distribuições populares, como Ubuntu, RHEL e Fedora. Essa falha, que ainda não possui um identificador CVE, permite que usuários não privilegiados obtenham acesso root ao explorar duas vulnerabilidades existentes: xfrm-ESP Page-Cache Write e RxRPC Page-Cache Write. A primeira foi introduzida em 2017 e a segunda em 2023, e juntas formam uma cadeia que pode ser explorada em diferentes ambientes. A vulnerabilidade é considerada de alta gravidade, com um CVSS score de 7.8, e sua exploração não depende de condições de corrida, o que aumenta a taxa de sucesso do ataque. A urgência é acentuada pela divulgação de um proof-of-concept (PoC) que permite a exploração em um único comando. Enquanto os patches não estão disponíveis, recomenda-se bloquear os módulos esp4, esp6 e rxrpc para mitigar o risco. A Dirty Frag representa uma ameaça significativa, pois pode ser explorada independentemente da ativação do módulo algif_aead, que é uma mitigação conhecida para outra vulnerabilidade, Copy Fail.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma nova vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-31431, possui uma pontuação CVSS de 7.8 e se trata de uma vulnerabilidade de escalonamento de privilégios local (LPE) que pode permitir que um usuário local sem privilégios obtenha acesso root. Essa falha, que existe há nove anos, é resultado de um erro lógico no template criptográfico de autenticação do kernel Linux, permitindo que atacantes acionem a escalada de privilégios com um exploit de apenas 732 bytes. A vulnerabilidade afeta distribuições Linux desde 2017 e pode ser explorada por usuários não privilegiados para corromper o cache de página em memória do kernel, resultando em execução de código com permissões de root. A CISA recomenda que as agências federais apliquem correções até 15 de maio de 2026, e, se a aplicação de patches não for imediata, sugere desabilitar a funcionalidade afetada e implementar controles de acesso. A presença de um exploit funcional já disponível aumenta a urgência da situação, especialmente em ambientes de contêiner, onde a vulnerabilidade pode comprometer a isolação e o controle do sistema físico.

Uma nova vulnerabilidade de escalonamento de privilégios local, chamada ‘Copy Fail’ e identificada como CVE-2026-31431, afeta kernels do Linux lançados desde 2017. Descoberta pela empresa de segurança Theori, a falha permite que um atacante local não privilegiado obtenha permissões de root. A vulnerabilidade foi encontrada após uma varredura de uma hora no subsistema criptográfico do Linux utilizando a plataforma de pentesting Xint Code. A falha é causada por um erro lógico no template criptográfico do kernel, que permite a escrita controlada de 4 bytes na cache de página de qualquer arquivo legível. Isso pode alterar o comportamento de binários setuid-root, concedendo privilégios de root ao atacante. A Theori desenvolveu um exploit em Python que funciona em várias distribuições Linux, incluindo Ubuntu, Amazon Linux, RHEL e SUSE. A correção foi disponibilizada rapidamente, revertendo uma otimização problemática introduzida em 2017. Embora as distribuições principais estejam implementando as correções, ainda não há atualizações oficiais para algumas versões. Como mitigação temporária, recomenda-se desabilitar a interface criptográfica vulnerável. A vulnerabilidade é considerada mais prática e portátil do que outras falhas similares, como a ‘Dirty Pipe’.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Linux, identificada como CVE-2026-31431, que permite a um usuário local não privilegiado obter acesso root ao sistema. Nomeada ‘Copy Fail’, essa falha de escalonamento de privilégios local (LPE) foi descoberta nas versões do kernel Linux desde 2017 e está relacionada a um erro lógico no subsistema criptográfico do kernel, especificamente no módulo algif_aead. A exploração bem-sucedida da vulnerabilidade pode ser realizada através de um simples script Python de 732 bytes, que manipula a cache de páginas de arquivos executáveis setuid. Embora a vulnerabilidade não seja explorável remotamente, ela pode ser utilizada por qualquer usuário local para corromper a cache de página de um binário setuid, afetando potencialmente todas as distribuições Linux, incluindo Amazon Linux, RHEL, SUSE e Ubuntu. A gravidade da falha é elevada, com um CVSS de 7.8, e sua exploração é facilitada pela portabilidade e simplicidade do ataque, que não requer condições de corrida ou offsets de kernel. As distribuições Linux já emitiram avisos sobre a vulnerabilidade, e a comunidade de segurança está em alerta para suas implicações.

Uma nova vulnerabilidade identificada no Microsoft Entra ID, especificamente na função de administrador de ID de agente, pode permitir ataques de escalonamento de privilégios e tomada de identidade. Essa função, destinada a gerenciar a identidade de agentes de inteligência artificial (IA), permite que usuários com essa atribuição assumam o controle de outros principais de serviço, o que pode resultar em um comprometimento significativo da segurança do ambiente. A falha foi descoberta pela Silverfort e, após a divulgação responsável em 1º de março de 2026, a Microsoft lançou um patch em 9 de abril para corrigir a questão. O problema reside na forma como as permissões são aplicadas, permitindo que um agente assuma a propriedade de principais de serviço não relacionados a agentes, o que pode levar a um controle mais amplo sobre o inquilino, especialmente se esses principais tiverem permissões elevadas. As organizações são aconselhadas a monitorar o uso de funções sensíveis e a proteger os principais de serviço privilegiados para mitigar os riscos associados a essa vulnerabilidade.

Uma nova vulnerabilidade, chamada BlueHammer, foi divulgada por um pesquisador de segurança insatisfeito com a forma como a Microsoft lidou com o processo de divulgação. Essa falha de escalonamento de privilégios no Windows permite que atacantes obtenham permissões de SYSTEM ou administrador elevado. Sem um patch oficial disponível, a vulnerabilidade é considerada um zero-day. O pesquisador, que se identifica como Chaotic Eclipse, expressou frustração com a Microsoft e publicou um repositório no GitHub contendo o código de exploração. Embora a exploração exija acesso local, o risco é significativo, pois atacantes podem obter acesso local por meio de engenharia social ou outras vulnerabilidades. A falha combina um problema de TOCTOU (time-of-check to time-of-use) e confusão de caminho, permitindo acesso ao banco de dados Security Account Manager (SAM), que contém hashes de senhas. Especialistas confirmaram que, embora o exploit funcione, ele pode apresentar bugs que dificultam sua eficácia em algumas versões do Windows, como o Windows Server. A Microsoft ainda não se pronunciou sobre a questão.

A Microsoft divulgou uma vulnerabilidade crítica no Windows Admin Center, identificada como CVE-2026-26119, que permite a um atacante autorizado elevar seus privilégios em uma rede. Com uma pontuação CVSS de 8.8, essa falha foi descoberta pelo pesquisador Andrea Pierini e corrigida na versão 2511 do software, lançada em dezembro de 2025. A vulnerabilidade se origina de uma autenticação inadequada, que possibilita que um usuário padrão obtenha os direitos do usuário que está executando a aplicação afetada. Embora a Microsoft não tenha relatado a exploração ativa dessa falha, ela foi classificada como ‘Exploitation More Likely’, indicando um risco elevado. Pierini alertou que, sob certas condições, essa vulnerabilidade poderia levar a uma comprometimento total do domínio a partir de um usuário padrão. Dada a importância do Windows Admin Center em ambientes corporativos, a correção imediata é essencial para evitar possíveis ataques e garantir a segurança da rede.

Os agentes de inteligência artificial (IA) estão se tornando componentes essenciais nas operações diárias de segurança, engenharia e TI, atuando como intermediários de acesso em diversos sistemas. Esses agentes, que podem automatizar tarefas como provisionamento de contas e gerenciamento de mudanças, são projetados para operar com permissões amplas, o que pode obscurecer a visibilidade sobre quem está acessando o quê. Essa configuração, embora aumente a produtividade, introduz riscos significativos de escalonamento de privilégios, onde usuários com acesso limitado podem, indiretamente, acessar dados ou realizar ações que normalmente não teriam permissão. A falta de controle sobre as permissões dos agentes e a atribuição de atividades a eles, em vez de aos usuários, dificulta a detecção de abusos e a aplicação de políticas de segurança. Para mitigar esses riscos, é crucial que as equipes de segurança monitorem continuamente as permissões dos agentes e a relação entre as identidades dos usuários e os ativos críticos. A adoção segura de agentes de IA requer visibilidade e monitoramento contínuo para evitar que se tornem pontos cegos de segurança.

A Microsoft divulgou uma atualização de segurança para corrigir uma vulnerabilidade crítica no Microsoft SQL Server, identificada como CVE-2025-59499. Classificada como uma falha de elevação de privilégios, essa vulnerabilidade possui um score CVSS de 8.8 e afeta diversas versões do SQL Server, incluindo 2022, 2019, 2017 e 2016. O problema decorre da neutralização inadequada de elementos especiais em comandos SQL, permitindo que atacantes com privilégios baixos criem nomes de banco de dados maliciosos que contenham caracteres de controle SQL. Isso pode resultar na execução de comandos T-SQL arbitrários, comprometendo o contexto de segurança do processo em execução. Se o processo estiver sob funções de alto privilégio, como sysadmin, o atacante pode obter controle administrativo total.

Uma nova vulnerabilidade 0-day no Kernel do Windows, identificada como CVE-2025-62215, está sendo ativamente explorada para escalonamento de privilégios. Publicada em 11 de novembro de 2025, a falha é classificada como importante e resulta da execução concorrente de código que utiliza um recurso compartilhado sem a devida sincronização, caracterizando uma condição de corrida. Além disso, a vulnerabilidade envolve gerenciamento inadequado de memória, criando um cenário de ‘double free’ que permite que atacantes escalem privilégios ao serem bem-sucedidos na exploração.

Uma vulnerabilidade crítica de escalonamento de privilégios foi identificada no Windows Cloud Files Mini Filter Driver, classificada como CVE-2025-55680. Essa falha explora uma vulnerabilidade do tipo time-of-check to time-of-use (TOCTOU), permitindo que atacantes locais contornem restrições de gravação de arquivos e obtenham acesso não autorizado a nível de sistema. A origem da vulnerabilidade remonta a uma divulgação do Project Zero em 2020, que visava prevenir ataques de links simbólicos. No entanto, a validação de strings de caminho ocorre no espaço do usuário antes do processamento em modo kernel, criando uma janela crítica para exploração. Um atacante pode modificar a memória entre a verificação de segurança e a operação real do arquivo, contornando todas as proteções. O processo de exploração envolve a função HsmFltProcessHSMControl da API do Cloud Files, que, ao chamar HsmFltProcessCreatePlaceholders, pode criar arquivos em diretórios protegidos com privilégios de modo kernel. A Microsoft já disponibilizou patches para corrigir essa vulnerabilidade, e as organizações devem priorizar sua aplicação, uma vez que o ataque requer apenas acesso local ao sistema e não necessita de interação do usuário.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2025-41244, que afeta o VMware Tools e o VMware Aria Operations. Essa falha permite que atacantes com acesso de usuário padrão a uma máquina virtual elevem seus privilégios a nível root, comprometendo a segurança de sistemas virtualizados. A vulnerabilidade é particularmente preocupante devido à sua baixa complexidade de ataque e aos requisitos mínimos para exploração, tornando-a acessível em ambientes multi-inquilinos e de hospedagem compartilhada. A CISA estabeleceu um prazo obrigatório até 20 de novembro de 2025 para que as organizações apliquem patches ou implementem medidas de segurança alternativas. A Broadcom, responsável pelo VMware, já disponibilizou orientações de segurança e patches para mitigar a falha. Enquanto isso, as organizações devem considerar restrições de acesso local e desativação de funcionalidades não essenciais como medidas temporárias. A urgência é reforçada pela natureza pública da vulnerabilidade e pela janela de exploração ativa, exigindo uma resposta rápida das equipes de segurança.

Uma grave falha de segurança foi identificada no serviço Red Hat OpenShift AI, que pode permitir que atacantes escalem privilégios e assumam o controle total da infraestrutura sob certas condições. O OpenShift AI é uma plataforma que gerencia o ciclo de vida de modelos de inteligência artificial preditiva e generativa em ambientes de nuvem híbrida. A vulnerabilidade, identificada como CVE-2025-10725, possui uma pontuação CVSS de 9.9, sendo classificada como ‘Importante’ pela Red Hat, uma vez que requer que o atacante esteja autenticado para comprometer o ambiente. Um atacante com privilégios baixos, como um cientista de dados utilizando um Jupyter notebook, pode elevar seus privilégios a um administrador completo do cluster, comprometendo a confidencialidade, integridade e disponibilidade do cluster. Isso pode resultar no roubo de dados sensíveis e na interrupção de serviços. As versões afetadas incluem Red Hat OpenShift AI 2.19 e 2.21. A Red Hat recomenda que os usuários evitem conceder permissões amplas a grupos de sistema e que as permissões para criar jobs sejam concedidas de forma mais granular, seguindo o princípio do menor privilégio.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-41244, afeta o VMware Tools e o VMware Aria Operations, permitindo que usuários não privilegiados executem código com privilégios de root sem autenticação. Essa falha, explorada ativamente pelo grupo de ameaças UNC5174 desde outubro de 2024, resulta de padrões de expressão regular excessivamente amplos no componente get-versions.sh, que pode ser manipulado para executar binários maliciosos. O ataque ocorre em ambientes de nuvem híbrida, onde a execução de um binário malicioso em diretórios graváveis, como /tmp/httpd, pode levar a um shell de root. Para mitigar essa vulnerabilidade, recomenda-se que as organizações apliquem patches imediatamente, monitorem processos e restrinjam permissões de gravação em diretórios vulneráveis. A gravidade da situação exige uma resposta rápida para proteger as infraestruturas críticas contra ameaças persistentes avançadas.