Uma nova vulnerabilidade de escalada de privilégios locais, batizada de CIFSwitch, foi descoberta no núcleo do Linux. O problema permite que possíveis atacantes forjem descrições de chaves de autenticação e abusem do mecanismo de pedidos do sistema para obter acesso de administrador. Os pormenores desta falha foram revelados pelo investigador Asim Viladi Oglu Manizada, de acordo com as notas partilhadas na publicação original do especialista.
A anomalia afeta várias distribuições que incluem combinações vulneráveis do sistema CIFS do núcleo e do pacote cifs-utils, especificamente nas versões 6.14 e superiores, embora algumas variantes mais antigas também sofram do mesmo problema. O protocolo CIFS é habitualmente utilizado para montar, ler e gravar dados a partir de sistemas remotos numa rede local.
Se uma partilha de rede utilizar o Kerberos para autenticação, o núcleo pede a um programa auxiliar no espaço do utilizador para realizar a verificação. No entanto, o investigador, que trabalha como engenheiro de segurança na SpaceX, explica que o sistema falha ao não confirmar se os pedidos de chave têm origem no cliente legítimo.
Como resultado desta falha, que segundo o especialista foi introduzida no código há 19 anos, em 2007, um utilizador sem privilégios pode desencadear o fluxo normal de autenticação. Ao forçar uma mudança de espaço de nomes antes de os privilégios serem descartados, torna-se possível carregar um módulo malicioso e executar código com as permissões mais elevadas do sistema.
O impacto e as distribuições afetadas
A exploração do problema não é universal e depende de vários fatores, como a versão exata do núcleo, a disponibilidade de espaços de nomes para utilizadores e as políticas de segurança ativas. Entre as distribuições confirmadas como vulneráveis nas suas configurações padrão encontram-se o Linux Mint 21.3 e 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux 2021.4 a 2026.1 e o SLES 15 SP7.
Outras versões como o Ubuntu, Debian, Pop!_OS e openSUSE também podem estar em risco se o pacote cifs-utils estiver instalado. Por outro lado, sistemas como o Ubuntu 26.04 e o Fedora 40 a 44 estão protegidos pelas definições padrão do SELinux ou AppArmor, que bloqueiam eficazmente a investida, da mesma forma que o Amazon Linux 2 não é afetado por não suportar a funcionalidade visada.
Como proteger o teu equipamento
A vulnerabilidade já foi corrigida através de uma atualização direta no código (upstream commit 3da1fdf) que adiciona a validação correta da origem dos pedidos, mas a chegada desta correção varia consoante a distribuição que utilizas.
Para mitigar o risco de imediato, é recomendado que desatives o módulo CIFS caso não o utilizes no teu dia a dia, removas o pacote cifs-utils se for desnecessário e desatives os espaços de nomes para utilizadores sem privilégios. Foi também publicado um código de prova de conceito para ajudar as empresas e administradores de sistemas a validarem a eficácia das suas defesas.
Esta descoberta junta-se a uma série de falhas recentes de elevação de privilégios que têm fustigado o ecossistema, incluindo problemas conhecidos como Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt e PinTheft.
Nenhum comentário
Seja o primeiro!