Uma vulnerabilidade de escalonamento de privilégios locais recentemente corrigida no módulo rxgk do kernel Linux tem agora uma prova de conceito funcional. De acordo com os detalhes publicados pela V12 Security, este exploit permite que atacantes obtenham acesso root em sistemas afetados.
Conhecida como DirtyDecrypt ou DirtyCBC, a falha foi descoberta e reportada de forma autónoma pela equipa de segurança a 9 de maio de 2026. No entanto, os responsáveis pela manutenção do kernel informaram que se tratava de um problema duplicado e que já tinha sido corrigido na linha principal. A falha reside numa escrita de pagecache no módulo rxgk, causada pela falta de uma proteção COW na função rxgk_decrypt_skb.
Sistemas afetados e medidas de mitigação
O investigador Will Dormann aponta que os dados técnicos coincidem com a CVE-2026-31635, corrigida a 25 de abril. Para que a exploração seja bem-sucedida, é necessário executar um kernel com a configuração CONFIG_RXGK ativada, que fornece suporte de segurança ao cliente e transporte de rede do Andrew File System.
Esta exigência restringe a superfície de ataque a distribuições que acompanham de perto os lançamentos mais recentes do kernel upstream, como o Fedora, Arch Linux e openSUSE Tumbleweed. A prova de conceito desenvolvida foi testada com sucesso apenas no Fedora e no kernel principal.
Um padrão de vulnerabilidades recentes
A DirtyDecrypt insere-se na mesma categoria de outros problemas de escalonamento de privilégios revelados nas últimas semanas, onde se incluem falhas como a Dirty Frag, a Fragnesia e o Copy Fail.
Os utilizadores de distribuições potencialmente vulneráveis devem instalar as atualizações de kernel disponíveis com urgência. Quem não puder aplicar a correção de imediato pode recorrer a uma mitigação no ficheiro de configuração, semelhante à utilizada para a Dirty Frag, embora esta alternativa afete as ligações de VPN IPsec e os sistemas de ficheiros em rede AFS.
Estas divulgações surgem numa altura em que as autoridades alertam para a exploração ativa do Copy Fail. A agência norte-americana CISA adicionou essa falha à sua lista de problemas explorados ativamente a 1 de maio, determinando que as agências federais teriam de proteger os seus dispositivos até 15 de maio. Ainda em abril, várias distribuições disponibilizaram correções para a Pack2TheRoot, uma vulnerabilidade no serviço PackageKit que esteve oculta durante quase doze anos.
Nenhum comentário
Seja o primeiro!