Nieuws
image

Microsoft en VS melden misbruik van Copy Fail-kwetsbaarheid

maandag 4 mei 2026, 10:55 door Redactie, 3 reacties

Aanvallers maken actief misbruik van de Copy Fail-kwetsbaarheid in Linux, waardoor een lokale unprivileged gebruiker root kan worden, zo melden Microsoft en het Amerikaanse cyberagentschap CISA. Microsoft verwacht dat het misbruik op korte termijn verder zal toenemen. Het probleem, dat vorige week in het nieuws kwam, raakt genoeg alle Linux-distributies. Met name multi-tenant Linux omgevingen, shared-kernel containers en CI runners die niet vertrouwde code uitvoeren lopen risico op aanvallen.

De Copy Fail-kwetsbaarheid bevindt zich in het crypto-subsysteem van de Linux-kernel en maakt het mogelijk voor een lokale unprivileged gebruiker om de cache van elk leesbaar bestand te corrumperen, waaronder setuid binaries. De page cache is een kopie in het geheugen dat de Linux-kernel leest wanneer een bestand wordt geladen. Door het aanpassen van deze cache kan een gebruiker root worden. Bij de Copy Fail-aanval worden dan ook geen bestanden op de schijf aangepast, alleen de versie in het geheugen. Dit maakt een eventuele aanval lastig te detecteren.

"Deze kwetsbaarheid maakt het mogelijk om ongeautoriseerd de rechten naar root te verhogen, en raakt een groot deel van de cloud Linux workloads en miljoenen Kubernetes clusters", aldus Microsoft. "Hoewel actief misbruik beperkt is en voornamelijk waargenomen in proof-of-concept testen, heeft de brede toepasbaarheid van de kwetsbaarheid tot grote bezorgdheid geleid."

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldde op 1 mei dat het bekend was met actief misbruik van Copy Fail, maar geeft geen verdere details. Microsoft merkt op dat er inmiddels werkende proof-of-concept exploitcode online is verschenen en het 'testactiviteiten' heeft waargenomen. Dit zal volgens het techbedrijf waarschijnlijk het misbruik de komende dagen verder doen toenemen. Organisaties en beheerders worden opgeroepen om hun systemen te patchen. In het geval patches niet beschikbaar zijn adviseert Microsoft het uitschakelen van de betreffende feature, het implementeren van network isolation of het toepassen van access controls.

Reacties (3)
Reageer met quote
Vandaag, 11:13 door Anoniem
Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Reageer met quote
Vandaag, 11:48 door Anoniem
Windows 11 gaat weer in de stijgende lijn met tpm2.0 gebruikers
of toch niet?
Reageer met quote
Vandaag, 11:51 door Anoniem
Door Anoniem: Waren ze erbij vergeten te vertellen dat je dit alleen kan doen als je daadwerkelijk fysiek bij de pc kan?
Proberen ze mensen bang te maken om zo de uittocht van Windows naar Linux tegen te houden?

Ik vraag me daarbij af hoe een atomic Linux distro hiermee om gaat omdat je zelfs als root niet de systeembestanden kan aanpassen.
Fysiek? Nee hoor, gewoon via ssh werkt ook. Als je maar toegang hebt tot een reguliere gebruiker kan je naar root.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components