Microsoft en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) melden dat er actief misbruik wordt gemaakt van de Copy Fail-kwetsbaarheid in Linux. Deze kwetsbaarheid maakt het mogelijk voor een lokale gebruiker zonder verhoogde rechten om roottoegang te verkrijgen. Microsoft verwacht dat het misbruik hiervan op korte termijn zal toenemen.

De Copy Fail-kwetsbaarheid, die vorige week bekend werd, treft vrijwel alle Linux-distributies. Vooral multi-tenant omgevingen, shared-kernel containers en CI runners die onbetrouwbare code uitvoeren, lopen risico. De kwetsbaarheid zit in het crypto-subsysteem van de Linux-kernel en stelt een lokale gebruiker in staat om de page cache van elk leesbaar bestand te corrumperen, waaronder setuid binaries. De page cache is een geheugenbuffer die de Linux-kernel gebruikt bij het laden van bestanden. Door deze cache te manipuleren kan een gebruiker zijn rechten verhogen naar root. Omdat de aanval alleen de geheugenversie van bestanden aanpast en niet de schijf, is detectie lastig.

Microsoft benadrukt dat deze kwetsbaarheid een groot deel van cloud Linux workloads en miljoenen Kubernetes clusters raakt. Hoewel het actieve misbruik tot nu toe beperkt is en vooral in proof-of-concept testen is waargenomen, leidt de brede toepasbaarheid tot grote zorgen. Het Amerikaanse CISA meldde op 1 mei dat het bekend is met actief misbruik, maar gaf geen verdere details.

Microsoft waarschuwt dat er inmiddels werkende proof-of-concept exploitcode online beschikbaar is en dat testactiviteiten zijn waargenomen. Dit zal waarschijnlijk leiden tot een toename van misbruik in de komende dagen. Organisaties en systeembeheerders worden dringend geadviseerd om hun systemen te patchen. Als patches niet beschikbaar zijn, raadt Microsoft aan om de kwetsbare functionaliteit uit te schakelen, netwerkisolatie toe te passen of toegangscontroles te implementeren.