**CISA** hat eine Warnung bezüglich **CVE-2026-31431** herausgegeben, einer Schwachstelle zur lokalen Privilegieneskalation, die verschiedene Linux-Distributionen betrifft. Die Schwachstelle, auch bekannt als **Copy Fail**, ermöglicht es einem nicht privilegierten lokalen Benutzer, Root-Zugriff zu erlangen. ### Technische Details von Copy Fail Die Schwachstelle, die als **CVE-2026-31431** (CVSS-Score: 7.8) verfolgt wird, resultiert aus einer fehlerhaften Ressourcenübertragung im Linux-Kernel. Laut Forschern von Theori und Xint ist **Copy Fail** ein Logikfehler im Authentifizierungs-Kryptografie-Template des Linux-Kernels. Dies ermöglicht es Angreifern, Privilegieneskalation trivial mit einem relativ kleinen Python-Exploit von 732 Bytes auszulösen. Die Schwachstelle wurde durch scheinbar harmlose Änderungen am Linux-Kernel in den Jahren 2011, 2015 und 2017 eingeführt. ### Auswirkungen und betroffene Systeme Diese hochkritische Schwachstelle betrifft Linux-Distributionen, die seit 2017 ausgeliefert werden. Sie ermöglicht es einem nicht privilegierten lokalen Benutzer, Root-Zugriff zu erlangen, indem der In-Memory-[Page Cache](https://en.wikipedia.org/wiki/Page_cache) des Kernels für jede lesbare Datei, einschließlich Setuid-Binaries, beschädigt wird. **Wiz**, ein zum **Google**-Konzern gehörendes Sicherheitsunternehmen, erklärt, dass die Modifikation des Page Cache Binaries zur Laufzeit effektiv verändert, ohne die Festplatte zu ändern. Dies ermöglicht es Angreifern, Code in privilegierte Binaries (z.B. /usr/bin/su) einzuschleusen, um Root-Privilegien zu erlangen.  ### Containerisierte Umgebungen in Gefahr Die Verbreitung von Linux in Cloud-Umgebungen verstärkt die Auswirkungen dieser Schwachstelle erheblich. **Kaspersky** warnt, dass **Copy Fail** ein ernstes Risiko für containerisierte Umgebungen wie **Docker**, **LXC** und **Kubernetes** darstellt. Diese Plattformen gewähren Prozessen innerhalb eines Containers oft Zugriff auf das AF_ALG-Subsystem, wenn das algif_aead-Modul standardmäßig in den Host-Kernel geladen ist. **Kaspersky** stellt weiter fest, dass die Ausnutzung relativ einfach und schwer zu erkennen ist, da der Exploit nur legitime Systemaufrufe verwendet. Dies erschwert die Unterscheidung von normalem Anwendungsverhalten. ### Verfügbarkeit von Exploits und Aktivitäten von Bedrohungsakteuren Ein voll funktionsfähiger Proof-of-Concept (PoC) Exploit ist öffentlich verfügbar. **Kaspersky** hat Go- und Rust-Versionen der ursprünglichen Python-Implementierung in Open-Source-Repositories entdeckt. Das **Microsoft Defender Security Research Team** hat erste Testaktivitäten beobachtet, was auf eine potenzielle Zunahme der Ausnutzung durch Bedrohungsakteure in naher Zukunft hindeutet. ### Microsofts Analyse und Angriffsvektoren Laut **Microsoft** ist der Angriffsvektor lokal und erfordert niedrige Privilegien ohne Benutzerinteraktion. Obwohl er isoliert nicht remote ausnutzbar ist, wird er in Kombination mit einem initialen Zugriffsvektor wie Secure Shell (SSH)-Zugriff, der Ausführung bösartiger CI-Jobs oder Container-Fußfassen äußerst wirkungsvoll. **Microsoft** skizzierte ein mögliches Angriffsszenario: 1. Aufklärung zur Identifizierung eines anfälligen Linux-Hosts oder Containers. 2. Vorbereitung eines Python-Triggers. 3. Ausführung des Exploits aus einem Kontext mit niedrigen Privilegien. 4. Kontrollierte 4-Byte-Überschreibung im Kernel-Page-Cache, was zur Beschädigung sensibler, vom Kernel verwalteter Daten führt. 5. Eskalation zu UID 0 und vollständigen Root-Privilegien. ### Behebung und Minderung Bundesbehörden der zivilen Exekutive (FCEB) sind verpflichtet, die Korrekturen bis zum 15. Mai 2026 anzuwenden. Patches wurden von den betroffenen Linux-Distributionen veröffentlicht. Wenn ein sofortiges Patchen nicht möglich ist, sollten Organisationen die betroffene Funktion deaktivieren, eine Netzwerkisolierung implementieren und strenge Zugriffskontrollen anwenden.