MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS . Baptisée CopyFail, cette faille permet à n’importe quel utilisateur d’élever ses privilèges pour devenir le maître absolu de la machine et la paralyser. Un danger majeur sur lequel revient Yaroslav Kikel, de l’Équipe de Recherche et d’Analyse Globale (GReAT) de Kaspersky :
“ La vulnérabilité récemment signalée CVE-2026-31431, également appelée « CopyFail », pourrait permettre à un utilisateur lambda d’obtenir un contrôle administratif total sur un système. Avec ce niveau d’accès, un attaquant peut installer des logiciels, modifier n’importe quel fichier, créer des comptes ou mettre le système complètement hors service.
Ce problème pourrait affecter les systèmes basés sur le noyau Linux, la couche centrale du système d’exploitation qui contrôle le matériel, la mémoire et le fonctionnement des applications.
D’après les détails techniques disponibles, elle pourrait provenir d’un code introduit dès 2017, ce qui signifie qu’elle pourrait affecter un large éventail de versions de Linux publiées sur près d’une décennie, y compris des distributions largement utilisées telles que les systèmes basés sur Ubuntu et Red Hat.
L’anomalie semble concerner la manière dont le noyau gère certaines opérations cryptographiques. Une faille dans le traitement des données pourrait permettre à des attaquants de réécrire des parties du cache de fichiers du système, altérant ainsi des programmes de confiance au moment où ils sont chargés en mémoire.
À savoir, l’exploit opérationnel est décrit comme extrêmement court, quelques lignes de code en Python seulement. De plus, il repose uniquement sur des appels système légitimes. Cela le rend difficile à distinguer de l’activité normale du système et abaisse la barrière pour les attaquants. Des exploits dans d’autres langages, notamment Go et Rust, ont également déjà été détectés.
Cette vulnérabilité ne peut pas être exploitée à distance ; un attaquant a d’abord besoin d’un accès local. Cependant, cela ne la rend pas inoffensive pour autant. La faille devient particulièrement dangereuse s’ il y a compromission de serveurs (à la suite d’une intrusion initiale) ou bien des menaces internes.
Elle est particulièrement préoccupante dans les environnements conteneurisés tels que Docker ou Kubernetes. Dans ces configurations, les processus à l’intérieur des conteneurs peuvent toujours accéder à l’interface cryptographique vulnérable. Si elle est exploitée, cela pourrait permettre à un attaquant de s’échapper du conteneur et de prendre le contrôle de la machine hôte sous-jacente, brisant ainsi une couche clé de la sécurité cloud moderne.
Il est conseillé aux équipes de sécurité de surveiller les changements inhabituels de privilèges , tels que des processus obtenant de manière inattendue des droits d’accès élevés sans les étapes d’autorisation classiques.
Un correctif aurait déjà été intégré aux versions stables du noyau Linux, corrigeant une validation incorrecte dans le composant cryptographique affecté.
Pour ceux qui ne peuvent pas effectuer de mise à jour immédiatement, une mesure d’atténuation temporaire consiste à désactiver le module vulnérable (algif_aead). Bien que cela puisse impacter certaines fonctions cryptographiques, cela réduit la surface d’attaque immédiate.”
