Nieuws
image

Microsoft en VS melden misbruik van Copy Fail-kwetsbaarheid

maandag 4 mei 2026, 10:55 door Redactie, 24 reacties

Aanvallers maken actief misbruik van de Copy Fail-kwetsbaarheid in Linux, waardoor een lokale unprivileged gebruiker root kan worden, zo melden Microsoft en het Amerikaanse cyberagentschap CISA. Microsoft verwacht dat het misbruik op korte termijn verder zal toenemen. Het probleem, dat vorige week in het nieuws kwam, raakt genoeg alle Linux-distributies. Met name multi-tenant Linux omgevingen, shared-kernel containers en CI runners die niet vertrouwde code uitvoeren lopen risico op aanvallen.

De Copy Fail-kwetsbaarheid bevindt zich in het crypto-subsysteem van de Linux-kernel en maakt het mogelijk voor een lokale unprivileged gebruiker om de cache van elk leesbaar bestand te corrumperen, waaronder setuid binaries. De page cache is een kopie in het geheugen dat de Linux-kernel leest wanneer een bestand wordt geladen. Door het aanpassen van deze cache kan een gebruiker root worden. Bij de Copy Fail-aanval worden dan ook geen bestanden op de schijf aangepast, alleen de versie in het geheugen. Dit maakt een eventuele aanval lastig te detecteren.

"Deze kwetsbaarheid maakt het mogelijk om ongeautoriseerd de rechten naar root te verhogen, en raakt een groot deel van de cloud Linux workloads en miljoenen Kubernetes clusters", aldus Microsoft. "Hoewel actief misbruik beperkt is en voornamelijk waargenomen in proof-of-concept testen, heeft de brede toepasbaarheid van de kwetsbaarheid tot grote bezorgdheid geleid."

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldde op 1 mei dat het bekend was met actief misbruik van Copy Fail, maar geeft geen verdere details. Microsoft merkt op dat er inmiddels werkende proof-of-concept exploitcode online is verschenen en het 'testactiviteiten' heeft waargenomen. Dit zal volgens het techbedrijf waarschijnlijk het misbruik de komende dagen verder doen toenemen. Organisaties en beheerders worden opgeroepen om hun systemen te patchen. In het geval patches niet beschikbaar zijn adviseert Microsoft het uitschakelen van de betreffende feature, het implementeren van network isolation of het toepassen van access controls.

Reacties (24)
Reageer met quote
04-05-2026, 11:13 door Anoniem
Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Reageer met quote
04-05-2026, 11:48 door Anoniem
Windows 11 gaat weer in de stijgende lijn met tpm2.0 gebruikers
of toch niet?
Reageer met quote
04-05-2026, 11:51 door Anoniem
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Fysiek? Nee hoor, gewoon via ssh werkt ook. Als je maar toegang hebt tot een reguliere gebruiker kan je naar root.
Reageer met quote
04-05-2026, 12:34 door Anoniem
Door Anoniem:
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Fysiek? Nee hoor, gewoon via ssh werkt ook. Als je maar toegang hebt tot een reguliere gebruiker kan je naar root.
Onbekende gebruikers hebben hier geen toegang. Dus niks aan het handje, al helemaal niet op mijn Linux laptop.
Reageer met quote
04-05-2026, 12:35 door Anoniem
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Je vergeet blijkbaar dat Microsoft heel veel linux servers host en dat heel veel klanten ook defender gebruiken op nu Linux systemen.

En blijkbaar detecteren ze dus al misbruik.

Kan jij wel mooi zeggen, dat het alleen daadwerkelijk fysiek werkt, maar blijkbaar is dat toch (veel) het geval.

Blijkbaar onderschat jij hoe bedrijven omgaan met hun infrastructuur, of IOT devices of hoe risico vol dit momenteel is.
Reageer met quote
04-05-2026, 13:05 door Anoniem
Door Anoniem:
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Fysiek? Nee hoor, gewoon via ssh werkt ook. Als je maar toegang hebt tot een reguliere gebruiker kan je naar root.
kan, oké, maar feitelijk nog niet zo eenvoudig, zelfs niet mbv AI.
Reageer met quote
04-05-2026, 13:14 door Anoniem
ach te veel mensen ontvluchten Microsoft?
Reageer met quote
04-05-2026, 13:44 door Anoniem
Door Anoniem:
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Fysiek? Nee hoor, gewoon via ssh werkt ook. Als je maar toegang hebt tot een reguliere gebruiker kan je naar root.
Nee staat default uit op mijn laptop en workstation
Reageer met quote
04-05-2026, 13:50 door Anoniem
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.

nee hoor, op een multi user systeem, denk aan een grote HPC super computer, kan iedereen nu root worden als er niet afgelopen week tijdig is gemitigeerd.
Reageer met quote
04-05-2026, 14:03 door Anoniem
Microsoft noemt het een local privilege escalation, en meldt daar voor de duidelijkheid nog eens bij:
Prerequisites for exploitation: Local access to the machine as non-privileged user
Maar tegelijk zegt Microsoft ook:
This vulnerability allows unauthorized escalation of privileges to root, impacting a significant portion of cloud Linux workloads and millions of Kubernetes clusters.
Misschien heb ik al heel lang heel hardnekkig iets helemaal verkeerd begrepen, maar ik zou denken dat het risico niet zo enorm zou kunnen zijn zonder remote access. Ik geloof namelijk niet dat we allemaal moeiteloos zo'n cloud-datacenter in kunnen lopen om die local access te krijgen.
Reageer met quote
04-05-2026, 14:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Fysiek? Nee hoor, gewoon via ssh werkt ook. Als je maar toegang hebt tot een reguliere gebruiker kan je naar root.
Onbekende gebruikers hebben hier geen toegang. Dus niks aan het handje, al helemaal niet op mijn Linux laptop.

Zeker ook nooit iets upstream uit een repository gedownload, zoals NPM of Python packages? Die worden natuurlijk ook nooit geraakt door supply chain aanvallen. Inderdaad niks aan het handje op je laptop. /s
Reageer met quote
04-05-2026, 14:34 door Anoniem
Azure infra is gebouwd met Linux. Dus alle gehoste windows servers zijn kwetsbaar. Microsoft heeft al misbruik gemeld.
Reageer met quote
04-05-2026, 17:17 door Anoniem
Je moet ook geen Microsoft defender voor Linux grbruiken en geen onbekende gebruikers ssh toegang geven.
Reageer met quote
04-05-2026, 19:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Fysiek? Nee hoor, gewoon via ssh werkt ook. Als je maar toegang hebt tot een reguliere gebruiker kan je naar root.
Onbekende gebruikers hebben hier geen toegang. Dus niks aan het handje, al helemaal niet op mijn Linux laptop.

Zeker ook nooit iets upstream uit een repository gedownload, zoals NPM of Python packages? Die worden natuurlijk ook nooit geraakt door supply chain aanvallen. Inderdaad niks aan het handje op je laptop. /s
Inderdaad niks aan het handje want op mijn laptop ben ik de enige gebruiker en packages komen alleen via de redhat en fedora repositories.
Reageer met quote
Gisteren, 00:29 door Anoniem
Door Anoniem: Microsoft noemt het een local privilege escalation, en meldt daar voor de duidelijkheid nog eens bij:
Prerequisites for exploitation: Local access to the machine as non-privileged user
Maar tegelijk zegt Microsoft ook:
This vulnerability allows unauthorized escalation of privileges to root, impacting a significant portion of cloud Linux workloads and millions of Kubernetes clusters.
Misschien heb ik al heel lang heel hardnekkig iets helemaal verkeerd begrepen, maar ik zou denken dat het risico niet zo enorm zou kunnen zijn zonder remote access. Ik geloof namelijk niet dat we allemaal moeiteloos zo'n cloud-datacenter in kunnen lopen om die local access te krijgen.

Je snapt de terminologie niet .

local access betekent NIET "console access" .

Local access betekent "proces op het systeem dat de betreffende API kan benaderen" . Gewoonlijk dus een "normale" gebruiker, of soms het webserver proces.

"remote access" in dit soort context slaat op een vulnerability die misbruikt kan worden via een API/programma dat benaderbaar is . Haast altijd zijn dat webservers of web-APIs . Het is wel eens SSH geweest , of mail daemons.

Je hoeft dus niet zo'n cloud datacenter in te lopen, je hoeft er alleen maar als gebruiker een dienst af te nemen.
Reageer met quote
Gisteren, 10:04 door Anoniem
In veel reacties hierboven wordt het gevaar van deze exploit gebagatelliseerd. Bedenk je dan dat een succesvolle hack vrijwel altijd bestaat uit het misbruiken van een serie aan kwetsbaarheden. Zo kan een hacker bijvoorbeeld eerst via een ongepatchte nginx een shell openen en daarna via CopyFail root worden. Ook op shared hostingsystemen is deze kwetsbaarheid echt wel een dingetje. Dat jij denkt, dat jouw laptopje veilig is, betekent niet dat de exploit niets voorstelt.
Reageer met quote
Gisteren, 11:24 door Anoniem
Door Anoniem: Azure infra is gebouwd met Linux. Dus alle gehoste windows servers zijn kwetsbaar. Microsoft heeft al misbruik gemeld.

Host OS is aangepast versie van Windows OS en Hyper-V tot zover ik weet... Containers draaien wel op Linux en veel VM's draaien Linux als guest OS.
Reageer met quote
Gisteren, 12:07 door Anoniem
Door Anoniem:
Door Anoniem: Microsoft noemt het een local privilege escalation, en meldt daar voor de duidelijkheid nog eens bij:
Prerequisites for exploitation: Local access to the machine as non-privileged user
Maar tegelijk zegt Microsoft ook:
This vulnerability allows unauthorized escalation of privileges to root, impacting a significant portion of cloud Linux workloads and millions of Kubernetes clusters.
Misschien heb ik al heel lang heel hardnekkig iets helemaal verkeerd begrepen, maar ik zou denken dat het risico niet zo enorm zou kunnen zijn zonder remote access. Ik geloof namelijk niet dat we allemaal moeiteloos zo'n cloud-datacenter in kunnen lopen om die local access te krijgen.

Je snapt de terminologie niet .

local access betekent NIET "console access" .

Local access betekent "proces op het systeem dat de betreffende API kan benaderen" . Gewoonlijk dus een "normale" gebruiker, of soms het webserver proces.

"remote access" in dit soort context slaat op een vulnerability die misbruikt kan worden via een API/programma dat benaderbaar is . Haast altijd zijn dat webservers of web-APIs . Het is wel eens SSH geweest , of mail daemons.

Je hoeft dus niet zo'n cloud datacenter in te lopen, je hoeft er alleen maar als gebruiker een dienst af te nemen.
Dat is niet waar. Een dienst bv een webserver draait als een user met geen rechten (user nobody of apache ) Die user gebruikt een protocol om met jouw te kunnen kletsen bv http of smtp etc. Hiermee is niks aan de hand.
Local access betekent dat je als gewone local user ingelogd moet zijn om bv een python script aan te roepen en dat is al een drempel. Dus geen users toestaan op je server. Nergens voor nodig. Een webserver is geen terminal server. Het kan natuurlijk wel een probleem worden als het gecombineerd kan worden met een andere CVE.
Dus op je Linux laptop geen enkel probleem.
Reageer met quote
Gisteren, 12:13 door Anoniem
Door Anoniem: In veel reacties hierboven wordt het gevaar van deze exploit gebagatelliseerd. Bedenk je dan dat een succesvolle hack vrijwel altijd bestaat uit het misbruiken van een serie aan kwetsbaarheden. Zo kan een hacker bijvoorbeeld eerst via een ongepatchte nginx een shell openen en daarna via CopyFail root worden. Ook op shared hostingsystemen is deze kwetsbaarheid echt wel een dingetje. Dat jij denkt, dat jouw laptopje veilig is, betekent niet dat de exploit niets voorstelt.
Nog al wiedes. Elke bug is in principe een security probleem, maar op mijn laptop en workstation is het risico erg laag.
Op een server gecombineerd met een high nginx cve zal ook niet vaak voorkomen, maar zoals altijd direct patchen die hap.
Reageer met quote
Gisteren, 12:22 door Anoniem
Door Anoniem:
Door Anoniem: Azure infra is gebouwd met Linux. Dus alle gehoste windows servers zijn kwetsbaar. Microsoft heeft al misbruik gemeld.

Host OS is aangepast versie van Windows OS en Hyper-V tot zover ik weet... Containers draaien wel op Linux en veel VM's draaien Linux als guest OS.
Azure Linux (oude CBL-Mariner) van Microsoft is ook vatbaar. Het wordt inderdaad gebruikt voor containers in the Azure Stack HCI implementation of Azure Kubernetes Service (AKS), evenals Azure IoT Edge to run Linux workloads on Windows IoT, and as a backend distro to host the Weston compositor for WSL.
Reageer met quote
Gisteren, 16:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Fysiek? Nee hoor, gewoon via ssh werkt ook. Als je maar toegang hebt tot een reguliere gebruiker kan je naar root.
Onbekende gebruikers hebben hier geen toegang. Dus niks aan het handje, al helemaal niet op mijn Linux laptop.

Zeker ook nooit iets upstream uit een repository gedownload, zoals NPM of Python packages? Die worden natuurlijk ook nooit geraakt door supply chain aanvallen. Inderdaad niks aan het handje op je laptop. /s
Inderdaad niks aan het handje want op mijn laptop ben ik de enige gebruiker en packages komen alleen via de redhat en fedora repositories.

Als dit je manier van denken en werken is, dan mag ik can harte hopen dat je niet in de securitywereld werkzaam bent. Een supply chain aanval maakt *juist* gebruik van de 'trusted' channels.
Reageer met quote
Gisteren, 18:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Microsoft noemt het een local privilege escalation, en meldt daar voor de duidelijkheid nog eens bij:
Prerequisites for exploitation: Local access to the machine as non-privileged user
Maar tegelijk zegt Microsoft ook:
This vulnerability allows unauthorized escalation of privileges to root, impacting a significant portion of cloud Linux workloads and millions of Kubernetes clusters.
Misschien heb ik al heel lang heel hardnekkig iets helemaal verkeerd begrepen, maar ik zou denken dat het risico niet zo enorm zou kunnen zijn zonder remote access. Ik geloof namelijk niet dat we allemaal moeiteloos zo'n cloud-datacenter in kunnen lopen om die local access te krijgen.

Je snapt de terminologie niet .

local access betekent NIET "console access" .

Local access betekent "proces op het systeem dat de betreffende API kan benaderen" . Gewoonlijk dus een "normale" gebruiker, of soms het webserver proces.

"remote access" in dit soort context slaat op een vulnerability die misbruikt kan worden via een API/programma dat benaderbaar is . Haast altijd zijn dat webservers of web-APIs . Het is wel eens SSH geweest , of mail daemons.

Je hoeft dus niet zo'n cloud datacenter in te lopen, je hoeft er alleen maar als gebruiker een dienst af te nemen.
Dat is niet waar. Een dienst bv een webserver draait als een user met geen rechten (user nobody of apache ) Die user gebruikt een protocol om met jouw te kunnen kletsen bv http of smtp etc. Hiermee is niks aan de hand.

In sommige settings kan het webserver proces verleid worden om iets te doen op het systeem - dan is "nobody" of "apache" de local user die de local privilege escalation doet .


Local access betekent dat je als gewone local user ingelogd moet zijn om bv een python script aan te roepen en dat is al een drempel. Dus geen users toestaan op je server. Nergens voor nodig.

Primair betekent het "controle over een lokaal proces dat met kwetsbare kernel API kan praten" .
een "echte" user met een shell is daar heel makkelijk voor, maar niet altijd de enige manier.


Een webserver is geen terminal server. Het kan natuurlijk wel een probleem worden als het gecombineerd kan worden met een andere CVE.
Dus op je Linux laptop geen enkel probleem.

Mwoah - laatste tijd wel wat developers die ge-social-engineerd werden om uiteindelijk een shell script op hun laptop te runnen.
Reageer met quote
Gisteren, 20:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Fysiek? Nee hoor, gewoon via ssh werkt ook. Als je maar toegang hebt tot een reguliere gebruiker kan je naar root.
Onbekende gebruikers hebben hier geen toegang. Dus niks aan het handje, al helemaal niet op mijn Linux laptop.

Zeker ook nooit iets upstream uit een repository gedownload, zoals NPM of Python packages? Die worden natuurlijk ook nooit geraakt door supply chain aanvallen. Inderdaad niks aan het handje op je laptop. /s
Inderdaad niks aan het handje want op mijn laptop ben ik de enige gebruiker en packages komen alleen via de redhat en fedora repositories.

Als dit je manier van denken en werken is, dan mag ik can harte hopen dat je niet in de securitywereld werkzaam bent. Een supply chain aanval maakt *juist* gebruik van de 'trusted' channels.
Dat is van een hele andere orde. Ik gebruik trouwens geen supply chain software op mijn laptop. Ik ben de enige gebruiker en dus is deze copy fail kwetsbaarheid een laag risico.
Reageer met quote
Gisteren, 20:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Fysiek? Nee hoor, gewoon via ssh werkt ook. Als je maar toegang hebt tot een reguliere gebruiker kan je naar root.
Onbekende gebruikers hebben hier geen toegang. Dus niks aan het handje, al helemaal niet op mijn Linux laptop.

Zeker ook nooit iets upstream uit een repository gedownload, zoals NPM of Python packages? Die worden natuurlijk ook nooit geraakt door supply chain aanvallen. Inderdaad niks aan het handje op je laptop. /s
Inderdaad niks aan het handje want op mijn laptop ben ik de enige gebruiker en packages komen alleen via de redhat en fedora repositories.

Als dit je manier van denken en werken is, dan mag ik can harte hopen dat je niet in de securitywereld werkzaam bent. Een supply chain aanval maakt *juist* gebruik van de 'trusted' channels.
Dit heeft niks met supply chain te maken. Ook al heeft het er wel mee te maken ik ben nog steeds de enige gebruiker en is het risico laag voor deze CVE als je dat niet snapt hoor je niet in de security wereld thuis.
Deslalniettemin is supply chain een groot probleem. Dat hebben we in de windows wereld al een paar keer gezien (bv crowdstrike) Daarom is er in de open source wereld ook aandacht voor: https://openssf.org/technical-initiatives/software-supply-chain/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components