Como vulnerabilidades de copy-on-write permitem escalação de privilégios, dificultam a detecção por ferramentas tradicionais e reforçam a urgência de atualizar o kernel.
Carlos Valente, em Julho 06, 2026 | 114 visualizações | Tempo de leitura: 7 min - 1386 palavras.
Imagine um cenário em que um usuário comum, sem qualquer privilégio administrativo, digita um comando simples no terminal. Em milissegundos, ele obtém acesso root, o nível de controle total que permite ler qualquer arquivo, interceptar dados de outros usuários e instalar portas dos fundos permanentes. O invasor passa a ser o dono da máquina.
O que torna esse ataque verdadeiramente aterrorizante para administradores de sistemas não é apenas o ganho de poder, mas sua invisibilidade. Diferentemente dos vírus convencionais, que deixam rastros no sistema de arquivos, essas novas ameaças, conhecidas como DirtyClone e pedit COW, operam inteiramente na memória RAM. Elas exploram o mecanismo de Copy-on-Write (COW), transformando uma ferramenta essencial de otimização do sistema em uma arma de manipulação silenciosa que ferramentas de segurança tradicionais são incapazes de detectar.
Para compreender a gravidade dessas falhas, precisamos entender como o kernel, o núcleo que gerencia o hardware e o software, economiza recursos. Imagine que vários processos precisam ler o mesmo arquivo grande. Em vez de criar várias cópias na memória, o kernel compartilha uma única versão original. Enquanto ninguém tenta editar o arquivo, o sistema economiza memória de forma eficiente.
Essa técnica é o Copy-on-Write, ou cópia na escrita. O kernel mantém o arquivo original no Page Cache, uma área da memória RAM onde o sistema guarda cópias temporárias de arquivos do disco para acelerar o acesso. Se um processo decidir escrever dados, o kernel deveria, teoricamente, criar instantaneamente uma cópia privada apenas para esse processo, protegendo o original compartilhado. O risco catastrófico ocorre quando esse contrato de proteção falha, permitindo que um usuário modifique a versão original que todos os outros processos, incluindo os do administrador, estão usando.
Janelas de tempo minúsculas, conhecidas como timing windows, podem ser suficientes para contornar as proteções nas quais milhões de sistemas Linux ao redor do mundo confiam.
A vulnerabilidade DirtyClone, identificada como CVE-2026-43503, não é um evento isolado, mas uma evolução sofisticada da família de falhas DirtyFrag. Ela ocorre quando o kernel, ao duplicar um pacote de rede, esquece de carregar uma bandeira de segurança crucial chamada SKBFL_SHARED_FRAG. Sem esse sinalizador, o sistema perde o controle de que aquela memória está vinculada a um arquivo importante no disco.
O processo de ataque é uma obra de engenharia de exploits, códigos criados para aproveitar uma falha:
A ironia técnica é notável: o atacante usa um processo de segurança, a criptografia, como uma primitiva de escrita para corromper o sistema. Por ser executado por caminhos internos de rede, o DirtyClone é silencioso por design, sem gerar registros em logs de auditoria do kernel.
A falha pedit COW, identificada como CVE-2026-46331, reside no subsistema Traffic Control (TC), que atua como um guarda de trânsito ao organizar os pacotes de rede por meio do módulo act_pedit.
Essa falha é um exemplo clássico de TOCTOU, sigla para Time-of-Check to Time-of-Use, ou tempo de verificação versus tempo de uso. O kernel verifica se tem permissão para escrever em uma área de memória antes de calcular o endereço final onde a escrita ocorrerá. Quando o cálculo é finalmente feito em tempo de execução, a escrita atinge uma região fora da área segura, conhecida como out-of-bounds.
Isso permite envenenar binários SUID root, arquivos que têm permissão para rodar como administrador, como o comando su. O invasor injeta um código malicioso diretamente na memória RAM desse comando. Quando o próximo usuário, ou o próprio invasor, executa o comando su, o sistema carrega a versão corrompida do Page Cache e entrega um shell, uma interface de comando, com poderes totais de administrador.
A maioria das defesas cibernéticas modernas foca na integridade de arquivos, verificando o hash, uma assinatura digital, dos arquivos armazenados no HD ou SSD. No entanto, o DirtyClone e o pedit COW subvertem essa lógica:
Um reboot, ou reinício do sistema, apaga os vestígios da memória RAM, mas não cancela os acessos, senhas trocadas ou processos persistentes que o hacker pode ter configurado enquanto tinha poderes de root.
Essas falhas são críticas em ambientes de nuvem e containers, como Kubernetes. Para disparar o gatilho do bug, o invasor precisa da permissão CAP_NET_ADMIN. Em sistemas normais, apenas o root a possui.
Contudo, o Linux utiliza namespaces, que podemos imaginar como quartos isolados dentro do sistema. Distribuições como Debian e Fedora permitem, por padrão, que usuários comuns criem esses quartos. Dentro desse isolamento, o usuário ganha a permissão necessária para configurar as regras de rede maliciosas que ativam as vulnerabilidades contra o sistema principal. O Ubuntu, embora utilize o AppArmor para restringir esses namespaces e dificultar o ataque, ainda possui um kernel subjacente vulnerável se essas proteções forem contornadas.
A única solução definitiva é a atualização imediata do kernel para versões que corrigem o contrato de compartilhamento de memória.
Ações recomendadas:
Aviso: essas mitigações podem impedir o funcionamento de navegadores modernos, como Chrome, ferramentas de container e ambientes de desenvolvimento que dependem de isolamento de processos.
As vulnerabilidades DirtyClone e pedit COW demonstram que a segurança do Linux não depende apenas de permissões de arquivos, mas também da forma como o kernel gerencia o complexo compartilhamento de memória entre processos. Elas provam que falhas em otimizações de desempenho podem quebrar o contrato fundamental de segurança do sistema operacional.
A lição para administradores é clara: em um mundo onde exploits públicos surgem horas após a descoberta de uma falha, a velocidade da correção técnica é a única defesa real. Se o seu sistema fosse comprometido apenas na memória, sem alterar um único arquivo no disco, como você saberia que ainda está seguro?
Para aprofundar a discussão sobre segurança digital, vulnerabilidades, sistemas e proteção de dados, veja também estes conteúdos relacionados.
A Valente Soluções oferece consultoria especializada para avaliar riscos, fortalecer ambientes, orientar atualizações críticas e apoiar empresas na proteção de servidores, estações de trabalho, dados e processos digitais. Para conversar sobre segurança da informação, proteção de infraestrutura e boas práticas em ambientes Linux, fale conosco.
Nota: Todas as imagens utilizadas neste artigo foram geradas com o auxílio de inteligência artificial por meio do ChatGPT 5.5 e Nano Banana 2, com o objetivo de ilustrar o conteúdo de forma didática e acessível aos nossos leitores.