Uma vulnerabilidade de escalonamento de privilégios local recém-corrigida no módulo rxgk do kernel **Linux** agora possui um exploit de prova de conceito que permite que atacantes obtenham acesso root em alguns sistemas **Linux**. ### Detalhes do DirtyDecrypt Nomeado DirtyDecrypt e também conhecido como DirtyCBC, esta falha de segurança foi encontrada e relatada autonomamente pela equipe de segurança **V12** no início deste mês, quando os mantenedores os informaram que era um duplicado que já havia sido corrigido na linha principal. "Encontramos e relatamos isso em 9 de maio de 2026, mas fomos informados de que era um duplicado pelos mantenedores", disse **V12**. "É uma escrita na pagecache do rxgk devido à falta de um COW guard em rxgk_decrypt_skb. Veja poc.c para mais detalhes." Embora não haja um ID **CVE** oficial associado a esta falha de segurança, de acordo com **Will Dormann** (analista principal de vulnerabilidades na **Tharros**), as informações dos pesquisadores de segurança se alinham com os detalhes do **CVE-2026-31635**, que foi corrigido em 25 de abril. ### Superfície de Ataque A exploração bem-sucedida requer a execução de um kernel **Linux** com a opção de configuração `CONFIG_RXGK`, que habilita o suporte de segurança RxGK para o cliente Andrew File System (**AFS**) e transporte de rede. Isso limita a superfície de ataque a distribuições **Linux** que seguem de perto os lançamentos mais recentes do kernel upstream, incluindo **Fedora**, **Arch Linux** e **openSUSE Tumbleweed**. No entanto, o exploit de prova de conceito da **V12** foi testado apenas contra **Fedora** e o kernel **Linux** principal.  *Teste do exploit DirtyDecrypt no Fedora (Will Dormann)* ### Vulnerabilidades Similares DirtyDecrypt pertence à mesma classe de vulnerabilidade que várias outras falhas de escalonamento de root divulgadas nas últimas semanas, incluindo Dirty Frag, Fragnesia e Copy Fail. ### Mitigação Usuários de **Linux** em distros potencialmente afetadas pelo DirtyDecrypt são aconselhados a instalar as atualizações mais recentes do kernel o mais rápido possível. No entanto, aqueles que não podem corrigir seus dispositivos imediatamente devem usar a mesma mitigação usada para Dirty Frag (no entanto, isso também quebrará VPNs IPsec e sistemas de arquivos de rede distribuídos **AFS**): ```sh sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true" ``` ### Exploração Ativa Essas divulgações seguem relatórios recentes de que atacantes estão explorando ativamente a vulnerabilidade Copy Fail em campo. A **Cybersecurity and Infrastructure Security Agency (CISA)** adicionou Copy Fail à sua lista de falhas exploradas em ataques em 1º de maio e ordenou que as agências federais protegessem seus dispositivos **Linux** em duas semanas, até 15 de maio. "Este tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal", alertou a agência de cibersegurança dos EUA. Em abril, as distros **Linux** lançaram patches para outra vulnerabilidade de escalonamento de privilégios de root (apelidada de Pack2TheRoot) no daemon PackageKit que havia passado despercebida por quase 12 anos.